标签：XSS

1. 风险概述与目标 说明：目的在于减少XSS被绕过并保障业务连续性。 小分段：a) 明确威胁模型——攻击者目标（窃取Cookie、劫持会话、二次攻击）。 b) 明确保护范围——哪些应用、接口、静态资源、第三方组件纳入WAF策略。 c) 法律与合规前提——渗透测试需签署授权书并在隔离环境进行。 2. 实验环境与安全测试原则 说明：所有测试

1.云WAF总体架构与部署模式 反向代理模式：云WAF部署在CDN/边缘节点或云端负载均衡前端，所有流量先过WAF。 镜像流量模式：部分流量复制至WAF做检测，用于无缝接入与灰度测试。 规则引擎层次：协议解析层、签名检测层、行为分析层、学习与自适应层。 集群调度：使用多可用区的负载分发，保证高可用，接入点可动态扩容。 与CDN/负载均衡协同：