测试CSRF中，目前已知

<iframe src="javascript:'<script src=目标></script>'">发送的请求可以不带referral和origin。。但有点鸡肋
以上类似的方法，用fetch post可以让origin为null但就是消不掉啊。。
还有就是fetch的no-cors模式，但这个控制不了content-type啊。。。