学步园

      由于ajax技术禁止跨域访问，因此，受到同源策略影响，不同域名不能进行ajax请求。但是，开发人员有时候又需要这样做，于是，出于方便的需要，他们很有可能通过document.domain="a.com"将网站的域设置后，这样，该网站的子域名就可以跨域请求，但是，这样，造成的安全漏洞提供了跨域攻击的可能。

      根据窗口引用的同源策略，可以做出跨域脚本注入的实验如下：

     在自己的腾讯微博发出一条连接如下：http://www.qq.com。由于开发人员设置document.domain="qq.com"，因此，在这个t腾讯首页页中可以对微博页面进行脚本注入。在这个页面上运行javascript代码：window.opener.alert(“你是SB”)；可以看到腾讯微博页面有弹框出现。