Cookie этой страницы, видимые через JavaScript (non-HttpOnly):
HttpOnly cookie здесь не видны — это и есть защита. Именно поэтому сессионные токены должны иметь этот флаг.
Без HttpOnly: document.cookie содержит все cookie, включая session token. XSS-атака читает их и отправляет на сервер злоумышленника. HttpOnly — единственная защита на уровне cookie.
Браузер автоматически прикрепляет cookie к запросам. Злой сайт делает POST на bank.ru — браузер пришлёт session cookie. Защита: SameSite=Strict (cookie не отправляется при кросс-сайтовых запросах) или CSRF-токен в теле.
Атакующий устанавливает session ID жертве до логина. Если сервер не ротирует session ID после аутентификации — атакующий знает ID активной сессии. Фикс: новый session ID при каждом логине.
Хранение идентификатора в нескольких местах (localStorage, IndexedDB, ETags, HSTS cache) и восстановление cookie после удаления. Используется для fingerprinting в обход настроек браузера.