uso de ; en el valor de parametros en URL supone un riesgo de seguridad.

Buen Día
Queríamos proponer el remplazo del carácter ; o por lo menos codificar del mismo, que se utiliza como separador de subvalores del valor del parámetro cascadas-maestros en la solicitud ajax de opciones de ef en cascada.

El caracter ; al parecer es interpretado de diferente forma por algunos lenguajes(ej go) y proxys que podrían originar un riesgo de seguridad.
Por lo anterior algunos proxys reversos por ejemplo traefik tomaron algunas medidas que atentan contra el buen funcionamiento del framework toba y de echo la cascada de toba no funciona cuando el mismo esta detrás de traefik versión 2.7.2 o superior ya que el proxy cambia los ; por & en la URL. Si bien entiendo que la solución adoptada por Traefik es más que discutible y esta siendo revisada por los desarrolladores de traefik, seria bueno analizar la posibilidad de remplazar el uso de este carácter tan discutido por uno más neutro o la codificar el valor del campo con urlencode y decodificar el mismo en el destino para evitar estas malas interpretaciones o riesgos de seguridad.

Adjunto alguno sitios de referencia:
https://www.oxeye.io/blog/golang-parameter-smuggling-attack
https://github.com/traefik/traefik/issues/9164

Saludos

Hola Carlos,

tiene sentido ver si podemos evitar esa problematica, dejame que hago unas pruebas ya que el tema de las cascadas es uno calculo de los que usan ese mecanismo, el otro tema es con versiones viejas del framework las cuales no van a tener este cambio… pero bueno sera cuestion de actualizar en dichos casos.

Saludos