编码绕过本质:
    比如JS中过滤了<>,但是没有过滤\

    JS中是可以进行Unicode编码的,所以就可以编码绕过了 | 用编码绕过原字符 | JS中语句结束要;

    XSS绕WAF的关键就是绕过被禁用的属性(语句来自B哥)

    注意事项:
    绕WAF的时候,可以先局部检测,然后组合检测

    HTML标签——>HMTL编码、URL地址中—->URL编码 、JS标签中——>Unicode编码

    < 不光可以写为 \u003c,还可以写为 \x3c, > 同样可以写为 \x3e

    img标签src不用双引号

    chrome 会自动对”, >, < 进行转换URL格式

    gb系列的编码,可以宽字节

    href中可以用伪协议:javascript:alert(1)

    HTML编码改为&#x00000000xx

    弹窗事件:alert、confirm、prompt