JAVA的XML解析，底层用的是xerces，而xml本身的特性及xerces的一些特性，可以用来造成WAF与后台代码的解析不一致。 文章是在看完代码后的三个月写的，所以并没有尝试把所有绕过手法的代码逻辑点列出。 &nb...