なんかよくわからんけどこのサイトXSSありそうってときだいたいDOM basedかWAF bypassしてる気がする