什么是httponly
如果你在cookie中设置了httponly熟悉，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击

当目标设置了httponly，读取不了用户的cookie时，如果用户习惯点击浏览器中的保存密码，也可以通过xss读取浏览器中用户保存的账号密码

常规WAF绕过思路
标签语法替换
特殊符号干扰
提交方式更改
垃圾数据溢出
加密解密算法
结合其他漏洞绕过

工具XSStrike
需要安装python3环境
通过工具进行测试，可以触发XSS的语句

–fuzzer
进行fuzz测试，测试哪些语句被waf过滤了，再根据自己的需要去构造语句