CSPT（客户端路径遍历）漏洞允许攻击者通过操控URL路径重定向请求至其他API，可能导致未授权操作。漏洞分为Source（触发点）和Sink（执行点）。攻击者可通过特定请求提升用户权限或执行恶意操作，靶场搭建和利用时需注意同源策略及API请求类型。