я создал на хосте скрипт snif.php поставил ваш код в этот файл проверил скрпит на своем сайте где тоже есть xss куки пришли НО когда я даю жертве на другом сайте ссылку на уязвимую страницу куки не приходят ) подумал может нету тут xss закрыли и просто ради интиреса на форуме того сайта написал alert(document.cookie) сайт показывает мне мои куки