Если указан флаг HttpOnly в HTTP-заголовке (опционально), то на стороне клиента не удастся заполучить доступ к файлу куки при помощи скриптов (если этот флаг поддерживается браузером). Даже если будет производиться XSS-атака, и пользователь случайно перейдёт по ссылке которая содержит эксплоит, то браузер (прежде всего IE) не "отдаст" куки третьей стороне.
Если указан флаг HttpOnly в HTTP-заголовке (опционально), то на стороне клиента не удастся заполучить доступ к файлу куки при помощи скриптов (если этот флаг поддерживается браузером). Даже если будет производиться XSS-атака, и пользователь случайно перейдёт по ссылке которая содержит эксплоит, то браузер (прежде всего IE) не "отдаст" куки третьей стороне.
Я правильно перевёл?)