Quando utenti malintenzionati e aggressori cercano di rubare dati usando XSS, possono inviare attributi come document.cookie a un server malevolo, corretto? Questo attributo ha tutti i cookie degli utenti per un determinato sito Web o solo uno per il sito specifico visitato dalla pagina?
Se stai scrivendo una lista nera, quali altri attributi un utente malintenzionato può trovare utile oltre ai cookie di pagina?
In questo caso particolare avrebbe solo i dati dei cookie del sito web.
L'idea di un attacco XSS è di ottenere un sito web che l'attaccante non controlla per incorporare codice JavaScript arbitrario in un modo che quando un utente apre il sito Web che Javascript viene eseguito dal proprio browser come se fosse normale Javascript incorporato in il sitoweb. Questo può essere usato per accedere a qualsiasi dato disponibile per Javascript eseguito su quel sito. Javascript può accedere solo ai dati dei cookie del dominio su cui è eseguito (e solo quelli che non hanno il flag http-only impostato). Non è possibile utilizzare Javascript da solo per ottenere dati sui cookie da un dominio diverso.
Riguardo a quali altri dati un attacco XSS può trovare: può leggere il contenuto del documento HTML su cui è eseguito. Pertanto, quando il documento html con una vulnerabilità XSS include anche altre informazioni personali, tali informazioni possono essere estratte e inviate all'autore dell'attacco.