举个例子，马蓉平时去某个酒店开房，酒店有在线的管理系统，该管理系统地址叫 xxoo.hotels.com 然后她正常登录该酒店管理系统欣赏着自己跟宋喆开房的记录，这一切都很正常，然后xxoo.hotels.com给她的客户端cookie添加身份标识。
这时候卓伟出现了，他做了个网站叫 sliver.com. 然后向xxoo.hotels.com 发起了XHR请求，请求同时xxoo.hotels.com对应cookie也同时发送过去。xxoo.hotels.com验证用户标识无误，response中返回请求数据，这时候卓伟就可以看的很爽，自己看的爽还不够，还会公布出去。马蓉虽然有罪，但是她和王的孩子是无辜的，孩子们的幼小心灵同时也受到了创伤。然后由于Ajax的后台执行，马蓉根本都没意识到这一行为，但是这一过程广大网友们就已经全部看到了。

简单的说，你把Cookie托付给浏览器保存，浏览器要保证你的Cookie不被恶意网站利用。