amosk

В протоколе HTTP куки можно помечать атрибутом HttpOnly.
Это позволяет в современных браузерах запретить доступ к куку из javascript.
Таким образом можно бороться с XSS атакой, когда один из юзеров сайта может получить кук сеанса другого юзера (через document.cookie) и завладеть его учетной записью.
Пока в полном обхеме это работает только в IE7. 
В Firefox3 доступ к document.cookie блокируется, однако остается способ через вспомогательный запрос с использованием XMLHttpObject.