Leí en muchos artículos incluyendo esto y éste que siempre deberíamos usar un
función para codificar los caracteres especiales de CR y LF para evitar la inyección de CRLF,
pero AFAIK para realizar este ataque, el usuario malintencionado no necesita insertar la cadena % 0d% 0a en la página / parámetro vulnerable que ya tiene la codificación url , y cuándo el servidor web procesa la respuesta infectada que interpretará el \ r \ n que conducirá a la división de respuesta HTTP,
si es así, ¿entonces cuando el devloper necesita usar codificación? y cómo puede ser útil para prevenir este tipo de ataque