文章总结： 当XSSpayload在GET请求中被WAF拦截时，可尝试将请求方法改为POST或PUT进行绕过。这是因为部分WAF对不同HTTP请求方法的规则覆盖不对称。同时，还需注意配合调整Content-Type请求头，以深入测试绕过可能性。 综合评分： 73 文章分类： 渗透测试,WEB安全,漏洞分析,红队,漏洞POC

XSS绕过WAF的小花招

原创

01iver Sec

01iver的安全小圈

2025年11月6日 11:01 北京

在测试XSS时遇到WAF，可以将请求方法从 GET 更改为 POST进项绕过尝试。有些WAF 阻止了我们的 XSS  payload中的单引号，我们可以尝试通过简单地将请求方法从 GET 更改为 POST 来绕过 WAF。

许多 WAF 在请求方式之间具有不对称的规则覆盖率。也值得尝试其他方法，如 PUT、PATCH。要进行更深入的bypass，还要注意header头中content-type字段相配合。

查看原文：《XSS绕过WAF的小花招》