Stavo leggendo un Q & A sull'abilitazione di +
di caratteri negli URL per Sitecore CMS e gli stati di risposta:
ASPNET application does not allow using “+” from the security point of view e.g. preventing SQL or JScript attack via URLs.
Essenzialmente un URL come http://example.com/foo%20bar
è permesso nel sistema, mentre http://example.com/foo+bar
non lo è.
Non ho mai sentito parlare di +
caratteri usati come qualsiasi tipo di vettore di attacco per SQL injection o XSS, ma ciò non significa che non ce ne sia uno.
È +
in alternativa a %20
un vettore di attacco di qualsiasi tipo?
NOTA: Ho taggato XSS e sql-injection perché sono stati richiamati esplicitamente nell'articolo