Non è molto d'aiuto. Per prendere i cookie da un sito con XSS la vulnerabilità deve essere all'interno del sito stesso, se un utente visita un link di un sito Z vulnerabile ad XSS il codice JS non può accedere ai cookie di Facebook grazie alla
SOP. Se anche trovassi una XSS su Facebook i cookie veramente imortanti sono protetti dalla http-only flag che li rende inaccessibli a codice JS:
Visualizza allegato 40822