Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。测试发现不管是删掉token，还是复制谷歌得到的token到火狐，都不能对信息进行修改，而且token的值也毫无规律可言，因此就要使用一些绕过的方法进行攻击。点击修改个人信息，用burps

存储型XSS（Cross-Site Scripting）漏洞是一种常见的网络安全威胁，它允许攻击者将恶意脚本注入到网站的数据库中，当其他用户访问受影响的页面时，这些脚本会在他们的浏览器中执行。这种攻击的危害性在于其持久性和隐蔽性，因为恶意脚本被存储在服务器上，每当页面被加载时，脚本就会自动执行。关键点：关注数据存储和渲染的过程，确保恶意脚本能够被持久化存储并最终在页面中执行。xss形成原因是程序对