一说到WAF，在我们安全工作者，或者作为普通的白帽子来说，就很头疼，因为好多时候，我们发到服务端的恶意流量都被挡掉了，于是就产生了各种绕“WAF”的话题，绕来绕去，也就无非那么多种，而且大多都是基于URLDecode的方式。

虽然我的文章也会讲绕过，虽然也是那么几种，但是我会从防御的方面展示WAF规则的强大。

笔者再次强调，如果你只是想学习WAF的绕过，我建议还是不要跟我的帖子了，我的目的还是主要帮助好多人去搭起整个框架，从而在谈绕过。