WAF Bypass
================================

- 利用<>标记
- 利用html属性
    - href
    - lowsrc
    - bgsound
    - background
    - value
    - action
    - dynsrc

- 利用回车拆分关键字
- 利用编码绕过
    - base64
    - jsfuck
    - String.fromCharCode
    - HTML
    - URL
    - hex
    - unicode
    - utf7
        - ``+ADw-script+AD4-alert('XSS')+ADsAPA-/script+AD4-``
    - utf16

- 大小写混淆
- 对标签属性值转码
- 产生事件
- css跨站解析
- 长度限制bypass
    - ``eval(name)``
    - ``eval(hash)``
    - ``import``
    - ``$.getScript``
    - ``$.get``
- ``.``
    - 使用 ``。`` 绕过IP/域名
    - ``document['cookie']`` 绕过属性取值
- 过滤引号用 `` ` `` 绕过