Eu acho que um nível de servidor é o que você precisa. Se você quiser pesquisar toda a solicitação, incluindo args, poderá usar:
server {
if ($request_uri ~ %0[adAD]) { return 500; }
}
Se você quiser apenas verificar a parte do caminho do uri:
server {
if ($uri ~ [\r\n]) { return 500; }
}
deve fazer o trabalho