我在 MOOC 中阅读了有关 Web 应用程序防火墙的信息，提供的示例是 WAF 可以过滤掉请求，?user=<script以避免潜在的 XSS 攻击。

但是，如果应用程序的网页允许以非常漂亮的方式view_user?name=...（而不是基于 ID）查看用户的个人资料怎么办？我可以<script在注册表单中设置我的名字，然后，没有人可以看到我的个人资料，因为该页面是合法view_user?name=<script的，而 WAF 拒绝它？

这样的用户名听起来很奇怪，但在某些应用程序中拥有不可访问的个人资料可能是一个优势：例如，在您必须查看玩家页面 [或城镇页面或角色页面等] 来攻击他们的游戏中，在您需要访问用户页面以编辑/禁止他们等的论坛中。

更笼统地说：你能避免破坏业务逻辑的 WAF 规则的副作用吗？如何？