JavaScript e cookies de terceiros
Digamos que exista um sitefoo.com
que carrega o JavaScript do sitebar.com
. Agora, diga o JavaScript do sitebar.com
tenta ler cookies usandodocument.cookies
. Fiquei com a impressão de que, usando JavaScript, você pode ler todos os cookies definidos no navegador, independentemente da fonte. Mas acontece que o JavaScript do sitebar.com
só pode acessar os cookies definidos porbar.com
e não qualquer outro. Se for esse o caso, como são realizados os ataques de injeção de script que roubam cookies?