Столкнулся с XSS на сайте под Drupal 7. Заметил следующую особенность Drupal 7, все куки кроме SESS приходят, а у SESS изменено имя, индивидуальное для каждого сайта Drupal 7, имеет форму типа: SESSecb798a2a44cb7fe4eb3d19ff343503d=iTZwzCL1P9HFiJeXx_SwjrT8q_IJGoRp6XXhgTqN1_U У этого кука по базе добавлена отметка HttpOnly. Получается, что теперь Drupal 7 защищен от XSS даже если открыты Full Html Была идея, имея все куки кроме SESS, его возможно как-то сгенерировать