XSSの仕組みを勉強していると必ずと言っていいほど、何故か例としてCookieをポップアップで表示させるスクリプト(aleat(cookie))が出されます。
これは例で分かりやすいのを出しているだけなのでしょうか？それとも実際の攻撃でよく使われる手法なのでしょうか？
Cookie情報を被害者側の環境でポップアップ表示させたことろで攻撃者にメリットがないように思えますが…

実際にスクリプトが実行されていることを分かりやすくするために出力しているだけだと思います。

実際のクロスサイトスクリプティングの攻撃はIPAのクロスサイトスクリプティングのページを参考にしてみると良いと思います。

https://www.ipa.go.jp/security/vuln/websecurity/cross-site-scripting.html

ありがとうございます。
ですよね。変に考えすぎました笑