看了FuckJsonp项目，决定好好学习一下蜜罐利用的jsonp技术，于是有了该篇文章。

0x01 同源策略

很多文章已经给出解释了，同源策略（Same Origin Policy ）为浏览器的安全机制，同源指的是协议、域名、端口相同，同源策略限制的是资源的访问，当不同源时，比如域名不同，a域名的下的JavaScript就无法访问b页面的cookie、DOM等资源，这里可以参考该文章web安全同源策略以及跨站脚本，跨站请求伪造。

那为什么XSS攻击插入的a网站js可以读取到b网站上的cookie呢？这是由于