内容类型研究 XSS CSRF 使用禁用的默认基于令牌的CSRF保护对所有框架进行了分析 可用于CSRF的错误的Content-Type解析的示例。例如，发送不带CORS预检请求的将被解释为JSON的HTTP请求的功能。可以与在HTTP请求中需要布尔值或数组的攻击（PHP Type Juggling，NoSQL Injection，Prototype Pollution等）结合使用。 有趣的结果 WAF绕过 基本思想 HTTP请求 应用 WAF 结果 内容类型：application /