一篇近期文章详细描述了一种绕过 Cloudflare Web 应用程序防火墙 (WAF) 的潜在方法，但 Hacker News 上的评论员普遍对它的严重性和将其描述为“零日漏洞”的说法表示异议。核心问题在于用于 Let's Encrypt 证书验证的 `.well-known/acme_challenge` 路径。 WAF 允许访问此路径，可能暴露原本应该由 WAF 保护的源服务器信息。引用的例子包括泄露 Next.js 应用程序的密钥或绕过 Spring 应用程序的安全检查。然而，许多人认为这些场景依赖于配置不当的源服务器——应用程序在错误页面上暴露敏感数据，或依赖 WAF 来隐藏内部漏洞。 一些评论员指出该文章很可能由 AI 生成，过于冗长且包含不准确的信息（例如，引用 HTTP-01 挑战的 HTTPS）。共识是该问题并非 Cloudflare 的根本缺陷，而是强调了安全源服务器配置的重要性，以及不要仅仅依赖 WAF 作为“零信任”解决方案。