Данные в localStorage и sessionStorage доступны только скриптам, которые выполняются на том же домене, что и страница, то есть по политике одного источника (same-origin policy). Это означает, что другие сайты не могут получить доступ к этим данным.

localStorage хранит данные без срока действия, доступен только с того же домена.
sessionStorage хранит данные только на время сессии вкладки браузера, также доступен только с того же домена.

Cookies могут быть доступны как с клиентской стороны (через JavaScript), так и с серверной, если они отправляются в HTTP-запросах. Доступность cookie зависит от настроек:

Флаг HttpOnly запрещает доступ через JavaScript, делая cookie доступным только для сервера.
Флаг Secure ограничивает передачу cookie только через HTTPS.
Флаг SameSite контролирует, отправляются ли cookie с запросами с других сайтов, что помогает предотвратить CSRF-атаки.

Таким образом, доступ к данным:

localStorage/sessionStorage: только скрипты с того же домена.
Cookies: доступны серверу и, если не установлен HttpOnly, клиентскому JavaScript с того же домена.

Кто имеет доступ к данным, хранящимся в local storage, session storage и cookies?