¿Podría alguien robar todas las cookies almacenadas con un ataque XSS?

El objeto document.cookie recupera las cookies del documento actual. El document se refiere a la página web desde donde se ejecuta el javascript que invoca el objeto document . Por lo tanto, JavaScript no podrá acceder a las cookies de otros sitios web, lo que incluye obviamente un ataque XSS.

  

con "document.cookies" el navegador muestra cookies que pertenecen (s) a solo para ese sitio web.

Esta declaración no es del todo cierta. El objeto document.cookie permite que javascript acceda a las cookies del documento actual, pero solo a aquellas que no tienen el HTTPOnly flag . Este indicador se usa para evitar que javascript acceda a esas cookies y es una política impuesta por el navegador. Se recomienda activar esa bandera en las cookies de sesión para evitar que sean robadas a través de XSS

Eso depende del tipo de XSS. Un XSS vuln en un sitio web solo se puede usar para robar cookies que no sean HTTPOnly en el dominio en cuestión (y posiblemente subdominios si han establecido el dominio en el dominio raíz en cualquiera de sus cookies). Sin embargo, si logra explotar un XSS en una extensión de Chrome (o algún otro tipo de XSS universal), es posible que pueda robar cookies para todas las páginas, incluidas las cookies de HTTP.png     

Cuando utiliza un navegador, el sitio web donde se encuentra solo puede acceder a sus cookies. No se puede acceder a las cookies de otros sitios web.

Entonces, con un XSS, puede robar todas las cookies almacenadas del sitio web que es vulnerable. Esto no es una restricción de document.cookie sino una restricción de su navegador. Puede tener una respuesta más detallada en este una página web puede leer cookies de otras páginas.