Diciamo che qualcuno ha radicato un sito, è possibile che l'attaccante esegua XSS tramite document.cookie
? Invece di dare all'utente un name=value
, l'utente malintenzionato fa qualcosa di simile a name=<script>document.alert(1)</script>
e lo memorizzerà nel browser degli utenti come un cookie quando visiterà il sito che verrà eseguito. È possibile o sono semplicemente via? Quindi è possibile memorizzare qualche tipo di exploit VBScript / JavaScript nei cookie degli utenti? O è del tutto impossibile? So che ci sono diversi modi in cui l'attaccante può avvicinarsi se ha radicato il sito, ma mi chiedo in particolare sui cookie nei browser degli utenti e sulle loro capacità di memorizzare codice e attaccare il client. Questa è una possibilità o un mito?