を整理したい

XSSより弱い攻撃で、攻撃が成立してしまうのかどうかを確認したい

そうじゃないと、Set-Cookieを厳格にする理由がなくなる

third-party library内で document.cookie するやつがいた時、これってxssって呼ぶ？

呼ばないか

Supply Chain Attackになる？

CSRFとかか

要は、Set-Cookieの各属性が、どういう攻撃の対策になっているのかが整理できればいい

事例

Meetyでの脆弱性 ref

Cookieにsecure属性がないため他人の職歴を書き換えられる