Вобщем смотри, если браузеру, точнее именно ослу приходят от сайта куки помеченные НttpOnly то с помощью обычной XSS ты эти куки не вынешь, зато можно сделать скрипт на JS который отправит TRACE запрос серверу который вернется браузеру вместе с куками которые ты не мог увидеть т.к. они помечены НttpOnly и отослать эти куки на сниффер (вернее не куки, а все заголовки и куки в том числе)
второй вариант это ты например на народе делаешь страничку, а в ней JS скрипт который отсылает (на стороне браузера) TRACE запрос на mail.ru (хотя на mail.ru TRACE помоему отключены, а вот на yandex.ru не отключены) а потом полученные данные на снифер например. Когда пользователь зайдет на эту твою страничку, ты получишь его куки с mail.ru. Но это не прокатит из-за доменных ограничений при посылке TRACE запроса, видел несколько примеров, как обойти эти доменные ограничения, но все эти примеры для старых версий браузеров и в современных версиях не работают, но теоретически всетаки возможно обойти эти доменные ограничения.

__________________
Карфаген должен быть разрушен...