Artikeln beskriver historiska försök att komma åt HttpOnly-cookies, inklusive sårbarheter som XST och brister i Firefox's XMLHttpRequest, vilka senare åtgärdades. Författaren undersökte olika tekniker 2012 och fann att Silverlight isolerade cookies, medan Adobe Flash/ActionScript hade potential men inte testades fullt ut. En sårbarhet upptäcktes i Java-Applets som tillät läsning av 'set-cookie'-svarsrubriken, inklusive HttpOnly-cookies, vilket demonstrerades med ett proof-of-concept. Exploiten kan användas i specifika scenarier, som Session Fixation eller genom att tvinga offret att logga ut och sedan logga in igen för att få en ny HttpOnly-cookie.