Brskalnik jih posreduje spletni aplikaciji ob pomoči ukaza HTTP POST, tako da lahko tudi v tem primeru pride do zlorab. Zelo priljubljeni piškotki, ki jih uporabljamo za shranjevanje uporabnikov nastavitev, so lahko šibka točka in pogosta tarča napadalcev. Razvijalci morajo biti previdni tudi pri lokalnih datotekah, kot so različni strežniški dnevniki (angl. server logs).