Из того, что я понимаю document.cookie
только получает Ваши cookie для текущего сайта, Вы идете. Для злонамеренного сайта было бы возможно обойти это при помощи iFrame, изменив мой HTTP-заголовок, выполнив запрос на целевой сайт или некоторый другой метод?
Повторная привязка DNS может использоваться для обхода политики одинакового происхождения (SOP), используемой браузерами для предотвращения чтения одним веб-сайтом данных других веб-сайтов, таких как файлы cookie, доменное имя и т. Д.
Здесь - отличное видео, чтобы узнать, как это работает и как это предотвратить.
Одним из способов сделать это являются межсайтовые скриптовые атаки. Это краткий обзор того, как работает кража файлов cookie с помощью XSS.
Эти методы в целом не работают. Iframe запрещает программный доступ к таким свойствам, как содержимое страницы и файлы cookie для страниц в другом домене. Точно так же HTTP-запросы Javascript разрешены только к тому же домену, что и запрашивающая страница.