曾经我一直以为可以，后来发现自己有些想当然了。

实际情况是，如果被攻击网站没有被注入，那么Web请求的跨域限制还有点用。可一旦被注入成功，完成XSS，请求的跨域限制就形同虚设了。

因为Web请求的跨域限制本质是为了防站长偷别人的数据的，而不是防别人偷站长的数据。

在实现对目标的XSS注入后，实际就能自由获取其Cookie信息了(未设置‌HttpOnly的情况下)。

这时Web请求的跨域限制根本不能拦截注入的脚本把Cookie信息通过Ajax发给攻击者。

通过实操你会发现，虽然通过浏览器的控制台抓包可以看到窃取Cookie的请求因为跨域被拦截，但实际Cookie信息仍旧可以通过Ajax发给攻击者。

因为Web请求的跨域拦截，只是浏览器拦截的HTTP的响应报文，HTTP的请求报文还是正常发出了。

所以，Web应用的防注入真的是非常重要。

因为一旦攻击者完成XSS，就能轻松得到用户的Cookie(未设置‌HttpOnly的情况下)。

而Cookie中又保存着会话标识，所以得到用户的Cookie基本就等效于得到了其账号和密码。

阅读原文：原文链接