Защищен ли PHP от уязвимостей «HTTP Response Splitting»?

Question

<?php
setcookie('test', "test\r\n<script>alert(1)</script>");
echo 1;

Но оказывается, что PHP автоматически выполняет кодировку:

Set-Cookie: test=test%0D%0A%3Cscript%3Ealert%281%29%3C%2Fscript%3E

Означает ли это, что невозможно воспроизвести разбиение ответов HTTP в PHP?

Answer 1

Из связанной статьи в Википедии:

[...] Хотя разбиение ответов не является специфическим для PHP, интерпретатор PHP содержит защиту от атак начиная с версий 4.4.2 и 5.1.2. ^[1]

header и setcookie содержат меры против разделения ответа / заголовка. Это невозможно.