请教老师三个问题啊： Q1：拿到cookie以后，可以直接访问，并不需要使用“用户名+密码”登录， 相当于绕过了登录，对吗？ 文中这句话“如果攻击者拿到 cookie 信息了，那他就可以实现登录我们的账号”， 从这句话来看，好像还需要用“用户名+密码”登录。 Q2：BeEF的Hooked Browsers界面上，192.168.3.102前面的几个“？”是什么意思？ 乱码吗？ 还是有其他含义？ Q3：本专栏所用的软件、脚本等内容，放在一个公共地方了吗？

XSS攻击还可以盗取CSRF TOKEN来进行CSRF攻击；