AWS WAFのCore Rule Setの CrossSiteScripting_Body はリクエストbodyの先頭(デフォルト約8192バイト)を検査するため、画像のmultipartアップロードで先頭に <? やバッククォート相当のバイト列があるとXSS誤検出でBLOCKされる。ファイルアップロード系のエンドポイントはbody検査の誤検出緩和(URI除外)対象に含める必要がある。エンドポイント名は単複形(registration/registrations)のように規則と実パスがずれていないか確認する。