Hallo Chirs,

XMLHttpRequest allows reading HTTPOnly cookies. Ob es funktioniert, habe ich nicht nachvollzogen.
Die Seite, die du verlinkt hast, stellt das ja als Bug dar - selbst wenn es aktuell funktioniert, wird man sich darauf wohl in Zukunft nicht verlassen können.

Was mit anderen Worten bedeutet, dass es meiner Recherche nach keine Möglichkeit (mehr) gibt.

Aber aus einem GreaseMonkey-Script heraus müsste man doch (andere) Möglichkeiten haben, auf die Header zuzugreifen - oder auch per XUL beispielsweise?

Der Schmieraffe führt (externe) Nutzerscripte mit den Rechten des originalen Webdokuments aus, hebt sie aber - zum Glück - nicht auf XUL Ebene an, also Ebene der Rechte, die Mozillas Browser zum Ausführen von Javascripten des graphical user interface haben.

Warum trotz same origin policy JavaScript eingeschränkt wird, ist mir bis jetzt aber nebulös.

Aber in dem Zusammenhang wird mir auch langsam klar, warum es notwendig ist, Javascript per Flag von Cookie-Inhalten fernhalten zu können.

Gruß aus Berlin!
eddi