1. 概述与攻击面说明
介绍前端复杂场景下 XSS 绕过对华为云 WAF 的挑战。
说明与服务器/VPS、域名解析、CDN、DDoS 防护的关联。
列出常见触发点:动态模板、innerHTML、SVG、data URI、CSP 弱化。
强调检测需要结合网络层(NGINX)、应用层(WAF)和前端日志。
提出本文目标:枚举绕过手法、给出检测策略和真实配置示例。
2. 常见前端复杂场景绕过手法
HTML 实体/双重编码:%253Cscript%253E 等,导致 WAF 未归一化。
事件处理插入:onerror/onload 嵌入 SVG 或 IMG,触发 DOM 执行。
DOM 派生绕过:Angular/React 渲染链中使用 innerHTML 或 dangerouslySetInnerHTML。
多段拼接与模板字面量:通过 JS 拼接绕过静态特征匹配。
混合协议与 data: URI:data:text/html;base64, 内嵌可执行内容。
3. 华为云 WAF 特性与绕过检测差异
华为云 WAF 支持签名、白名单、正则指纹与异常行为检测。
签名库对常见