WAF hạ toàn bộ input về chữ thường vẫn không cứu nổi bạn khỏi XSS đánh cắp cookie

Một researcher vừa nhắc lại sự thật khó chịu: WAF normalize tất cả ký tự về lowercase chỉ là mẹo tối ưu rule, không phải lớp phòng thủ. XSS đánh cắp cookie vẫn xuyên qua, và đây là lý do.