Ho letto molti articoli tra cui questo e questo che dovremmo sempre usare un
function to encode the CR and LF special characters to prevent CRLF Injection,
ma AFAIK per eseguire questo attacco l'utente malintenzionato non deve inserire la stringa % 0d% 0a nella pagina vulnerabile / parametro che è già url-encoded e quando il server web esegue il rendering della risposta infetta e interpreterà il \ r \ n che porterà a HTTP Response Splitting,
se sì, allora quando il deviloper ha bisogno di usare la codifica? e come può essere utile per prevenire questo tipo di attacco