안녕하세요 munoapple님
XSS같은 경우는 반드시 제 3자인 희생자가 있어야 합니다. 그 희생자가 공격자의 페이로드를 방문하여 XSS가 트리거됩니다.
문제에서는 코드를 읽어보셨겠지만, 공격자(풀이자)가 /flag 엔드포인트에서 설정한 url을 희생자(셀리네움을 이용한 코드 부분)가 FLAG(쿠키)와 함께 방문합니다.
따라서 memo에 출력되는 값이 차이가 나게됩니다.
더 궁금하신 사항이 있다면 질문해주세요!