Эволюция XSS и современные защиты
Скорее всего, вы уже знаете что такое XSS, но давайте для полноты картины повторим.
CSP ограничивает браузеру круг поиска кода, но JSONP callback hijacking обходит его через доверенный домен. WAF блокирует <script> в URL, но пропускает его в application/json или в заголовке Referer. Polyglot payload валиден одновременно в HTML и JS — и...Современные методы обхода WAF в задачах с нестандартным XSS
Источник: codeby.net