Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Filip Jirsák - V rámci XSS můžete dělat prakticky libovolné requesty...

V rámci XSS můžete dělat prakticky libovolné requesty na aktuální doménu, a pošlou se s tím všechny cookies., včetně těch httponly. Potom vidíte obsah, který můžete někam odeslat.
Kde ten obsah vidíte? Vidíte ho na serveru, ovšem tam byste zase musel mít nějaký kód, který vám tu cookie (nebo třeba celý požadavek i s hlavičkami) pošle zpět do prohlížeče.

A není mi jasné, jak to souvisí s tématem. Přihlašování lze řešit separátně od udržování přihlášeného stavu v nějaké session
S tématem to souvisí tak, že při přihlašování přes webový formulář je pouze přihlašovací požadavek „chráněn“ heslem, všechny ostatní požadavky od téhož uživatele už si musí aplikace nějak chránit sama, resp. sama si je musí spárovat s daným uživatelem. K čemuž se často používají cookies. Když se používá autentizace na úrovni HTTP protokolu, je autentizován každý jednotlivý požadavek. Tím pádem odpadá celá třída bezpečnostních problémů – únosy session.