IIS no permite el doble escape por defecto, lo que es una buena práctica.
- ¿Cuáles son las implicaciones reales si están habilitadas?
- ¿Cómo se ve un escenario de ataque válido en este caso? utiliza doble escape?
- ¿Y de qué debería ocuparse mi solicitud si está permitida?
Un ejemplo podría ser el enrutamiento desde la URL y la reutilización de la cadena y la cadena podría contener un + como carácter válido y, por lo tanto, fallaría la prueba de doble codificación si se utilizara dentro de la ruta.
¡Muchas gracias!