JavaScript和第三方cookie

但事实证明，来自bar.com网站的JavaScript只能访问由bar.com设置的cookie而不能访问其他cookie。这并不是真的。重要的是包含

他们在攻击页面内部加载脚本。
例如，当博客系统中的评论被攻击时，它们包含一个 script 元素，在渲染页面时会被执行。这个脚本可以获取 cookies 并将其发送到攻击者的服务器。
这就是为什么你绝不能信任用户输入，并且至少应该禁止在评论中使用某些标签（或将每个 < 转换为 <）。但不要在客户端上做这个预防技术，因为这种预防技术很容易被绕过；要在服务器端测试（并更改）恶意输入。

您只能访问为给定域名设置的cookie。来自维基百科关于cookie的文章：

除了名称/值对之外，cookie还可以包含过期日期、路径、域名以及cookie是否仅用于加密连接。RFC 2965规定cookie必须具有版本号，但这通常被省略。这些数据片段跟随名称=新值对，并由分号分隔。例如，服务器可以通过发送Set-Cookie行来创建Cookie：name=newvalue; expires=date; path=/; domain=.example.org。域和路径告诉浏览器，在请求给定域和路径的URL时，必须将cookie发送回服务器。如果未指定，则默认为请求的对象的域和路径。因此，域和路径字符串可能会告诉浏览器在通常不会发送cookie时发送cookie。出于安全原因，只有服务器是域字符串指定的域的成员时才接受cookie。
如果foo.com发送了一个域名为bar.com甚至.com的cookie，那么在bar.com上的JavaScript代码可以读取该cookie。但是大多数浏览器都配置为仅接受与域名匹配的cookie，并且会拒绝此类cookie。