Это означает, что если у меня есть веб-сайт и я ссылаюсь на внешний файл .js, скажем, для jquery или какой-либо службы виджетов, они могут довольно легко просто вытащить файл cookie аутентификации и затем войти в систему, как я правильно?
Что делать, если я использую SSL?