Ho letto di Web Application Firewall in un MOOC e l'esempio fornito è che il WAF può filtrare una richiesta come ?user=<script per evitare potenziali attacchi XSS.
Ma cosa succede se una pagina web dell'applicazione consente di vedere il profilo di un utente in un modo carino come view_user?name=... (anziché basato su ID)? Potrei impostare il mio nome su <script nel modulo di registrazione o così, e quindi, nessuno sarà in grado di vedere il mio profilo, perché la pagina sarebbe legittimamente view_user?name=<script e WAF lo rifiuta?
Tale username suona strano, ma può essere vantaggioso avere un profilo non accessibile in alcune applicazioni: come in un gioco in cui devi visualizzare la pagina del giocatore [o la pagina di una città o di un personaggio, ecc.] attaccali, in un forum in cui devi accedere alla pagina di un utente per modificarli / metterli al bando, ecc.
In termini più generali: puoi evitare gli effetti collaterali delle regole WAF che infrangono la logica di business? Come?