WAF y filtros XSS: lo que se rompe en producción
Los filtros pueden reducir ruido, pero en producción suelen normalizar, bloquear o transformar payloads de formas que cambian la prueba.
Los WAF y filtros no son decorado. Cambian lo que llega a la aplicación y, por tanto, cambian la prueba XSS.
A veces bloquean una cadena obvia. A veces decodifican una capa. A veces registran, truncan o normalizan caracteres antes de que el backend vea la entrada. Ignorar esa realidad produce conclusiones falsas.
Bloqueado no significa arreglado
Si un filtro bloquea <script>, el bug de encoding puede seguir existiendo. La pregunta correcta es si una entrada no confiable puede alcanzar un contexto peligroso con alguna forma válida para la aplicación.
Observa la transformación
Compara lo enviado, lo recibido y lo renderizado. Si puedes mostrar dónde se transformó el valor, el reporte será más útil para desarrollo y seguridad.
Producción tiene fricción
Rate limits, reglas regionales, proxies y cabeceras distintas pueden cambiar el resultado. Documenta el entorno exacto de la prueba antes de afirmar bypass o mitigación.