Buen Día
Queríamos proponer el remplazo del carácter ; o por lo menos codificar del mismo, que se utiliza como separador de subvalores del valor del parámetro cascadas-maestros en la solicitud ajax de opciones de ef en cascada.
El caracter ; al parecer es interpretado de diferente forma por algunos lenguajes(ej go) y proxys que podrían originar un riesgo de seguridad.
Por lo anterior algunos proxys reversos por ejemplo traefik tomaron algunas medidas que atentan contra el buen funcionamiento del framework toba y de echo la cascada de toba no funciona cuando el mismo esta detrás de traefik versión 2.7.2 o superior ya que el proxy cambia los ; por & en la URL. Si bien entiendo que la solución adoptada por Traefik es más que discutible y esta siendo revisada por los desarrolladores de traefik, seria bueno analizar la posibilidad de remplazar el uso de este carácter tan discutido por uno más neutro o la codificar el valor del campo con urlencode y decodificar el mismo en el destino para evitar estas malas interpretaciones o riesgos de seguridad.
Adjunto alguno sitios de referencia:
https://www.oxeye.io/blog/golang-parameter-smuggling-attack
https://github.com/traefik/traefik/issues/9164
Saludos