IIS non consente la doppia scansione per impostazione predefinita, che è una buona pratica.
- Quali sono le reali implicazioni se abilitato?
- Come fa / fa uno scenario di attacco valido in questo caso - quello usa il doppio escape?
- E di cosa dovrebbe occuparsi la mia applicazione se consentito?
Un esempio potrebbe essere il routing dall'URL e il riutilizzo della stringa e la stringa potrebbe contenere un + come carattere valido e quindi fallirebbe il test di doppia codifica se usato all'interno del percorso.
Grazie mille!