Seveda pa mora atribut HttpOnly uveljavljati spletna aplikacija (več informacij: msdn2.microsoft.com/en-us/library/ms533046.aspx). Zavrnitev storitve (DoS) se izvede s preusmerjanjem uporabnika na lokacijo, kjer je zlonamerna javascriptna koda, npr. takole: <script src=»http://URL/dos.js«></script>. Koda, ki povzroči DoS, dejansko ni daljša od nekaj vrstic.