XSSがなぜいけないか
どんなJavascriptでもそのドメインのものとして実行できる
↓
JavascriptからそのドメインのCookie情報が参照できる
↓
JavascriptでそのドメインのCookie情報を外に送信できる(フォームのSubmitとか使って)
どんなJavascriptでもそのドメインのものとして実行できる
↓
JavascriptからそのドメインのCookie情報が参照できる
↓
JavascriptでそのドメインのCookie情報を外に送信できる(フォームのSubmitとか使って)