拿到源码通读一下，有个不成熟的思路出现了。

db.js里在oopart表里藏着我们想要的flag，一共有五个路由(login,register,serach,scan,view)，都是需要登录才能使用的，但是默认用户就是guest权限，可以以guest权限访问search和scan。

search路由里通过query或者level来获得oopart表里对应的数据并存入session，然后ejs渲染session里对应数据,简单尝试一下。

将26个字母和10个数字丢入intruder,传参为query，很轻易的判断出存在这样几个权限为guest的views。

再来看看scan路由。

规定了扫描频率和bot访问站点的协议，看一下bot的源码。

唔，打xss的想法这不是就显而易见了吗？

通过scan控制bot访问我们自己的网站，我们自己的网站诱导bot去searh上访问出overseer权限的所有views，然后诱导bot访问所有views获取flag

问题就在csp怎么绕过了