Я просматривал некоторые файлы конфигурации SiteMinder APACHE 2.2 WebAgent, когда наткнулся на « %25u,%25U » в списке символов в кодировке ASCII/URL в атрибуте badurlchars как показано ниже:
[Wed Jun 19 2013 05:04:14] badurlchars='//,./,/.,/*,*.,~,\,%00-%1f,%7f-%ff,%25u,%25U'.
По сути, WebAgent отклоняет любой запрос, содержащий вышеуказанные символы в URL-адресе, начинающийся с
'?'
Теперь я знаю, что атрибут badurlchars может содержать сами символы ASCII или закодированную в URL-форме форму этого символа. [Ссылка на SiteMinder]
Так что же означает « %25u,%25U » в этом случае и почему они находятся в этом списке?
Я думаю, что выяснение того, как они создают угрозу безопасности, также косвенно ответит на мой вопрос.
ОБНОВЛЕНИЕ 1:
Я наткнулся на отчет об ошибках Debian, в котором говорится об ошибке в xdg-open когда URL-адреса, содержащие амперсанды, анализируются, и амперсанд преобразуется в %u который затем кодируется в %25u . Сейчас я не эксперт по Debian, но может ли это быть недостатком безопасности, который имеет смысл блокировать %25u в URL?
ОБНОВЛЕНИЕ 2:
Я получил ответ о том, что символы %25u/%25U относятся к символу управления устройством ASCII EM (конец среды).
Из w3schools:
ASCII Character: EM
HTML Entity Code: 
Description: end of medium
Краткое примечание: ASCII символ
%(37в десятичном виде) представляется как%25(шестнадцатеричный) после процентного кодирования. [Ссылка1] [Ссылка2]