悪意のあるサイトで、Cookieを保存しまくることでCookieの容量を超えさせ、元のHttpOnly付きのCookieを消す

その後、同名のCookieを設定すれば、上書きできる

同名のCookieってそんな容易に設定できるものなのか

session idは漏洩している前提？