En la respuesta HTTP hay el siguiente encabezado con contenido controlado por el atacante:
Content-Disposition:attachment; filename="attacker_controlled.html"
Los únicos caracteres que no pueden aparecer en el valor controlado por el atacante son [CR] y [LF] (no pueden aparecer en ninguna combinación). En todos los lugares donde leí acerca de la inyección del encabezado HTTP, se informó sobre la inyección de esos caracteres.
¿Es posible realizar una inyección de cabecera HTTP o algún otro ataque dañino sin CRLF?