No, porque XSS significa "secuencias de comandos entre sitios".
Normalmente, un sitio solo puede acceder a las cookies en su propio Origen. Esta restricción se conoce como Política del mismo origen .
Eso es example.org
normalmente no puede acceder a las cookies en example.com
.
Sin embargo, si hay un defecto XSS en example.com
, y la marca HttpOnly no se usa en una cookie en example.com
, entonces example.org
puede robar las cookies de example.com
si un usuario es víctima del ataque .
Si este ataque permitiera el acceso a todas las cookies del navegador, entonces el atacante no necesitaría la falla XSS en absoluto; simplemente escribirían el script en su propio dominio ( example.org
en este caso) si no hubiera restricciones de la Política del mismo origen. .
Un error que permitiría acceder a todas las cookies que no son de HttpOnly, sería un " Universal XSS ". uXSS es una falla en un navegador web o extensión de navegador que permite violar la Política del mismo origen.