XSS в header() для Internet Explorer.

Пляшем от того, что в отличии от других браузеров, IE принимает %0A%20 и %0D%0A%20 в качестве разделителей HTTP заголовков.

Подробности и PoC на https://bugs.php.net/bug.php?id=68978.