Eu acredito que este é um recurso de segurança. %2F , como você deve saber, é a codificação de URL para o caractere / da barra invertida. Permitindo que %2F esteja essencialmente permitindo a travessia de diretórios que fica "sob o radar", isto é, impede que o usuário veja claramente que eles estão atravessando diretórios. Combine isso com a permissão do caractere . e você pode fazer algo desagradável, especialmente se estiver falando sobre o sistema de arquivos local em que a passagem de diretórios não é cuidadosamente restrita, pois é um servidor HTTP.
Você se lembra das versões específicas do Firefox em que isso funcionava e das versões em que ele parou de funcionar? Houve vários patches de segurança relacionados a validação de entrada no Firefox ao longo dos anos para várias explorações de travessia de diretório. Seu URI pode estar tropeçando no código de segurança. Existem até algumas reclamações em alguns dos links abaixo que, dependendo da versão específica, as correções tentadas pioraram o problema ou causaram alguns falsos positivos; ou seja, o código bloquearia URIs legítimos.