ホーム エクスプローラ ヘルプ
登録 サインイン
github
/
spring-security
同期ミラー https://github.com/spring-projects/spring-security
2
0
フォーク 0
ファイル 課題 0 Wiki
ソースを参照

SEC-812: Added entity-escaping of username stored under last username key, to prevent problems if it is rendered in a page without escaping the text.

Luke Taylor 17 年 前
06719053f1
コミット
fa44c74993
1 ファイル変更2 行追加1 行削除
分割表示 差分情報を表示
  1. 2 1
      core/src/main/java/org/springframework/security/ui/webapp/AuthenticationProcessingFilter.java

+ 2 - 1
core/src/main/java/org/springframework/security/ui/webapp/AuthenticationProcessingFilter.java
ファイルの表示 

@@ -22,6 +22,7 @@ import org.springframework.security.providers.UsernamePasswordAuthenticationToke
 
 
 import org.springframework.security.ui.AbstractProcessingFilter;
 
 import org.springframework.security.ui.FilterChainOrder;
 
+import org.springframework.security.util.TextUtils;
 
 import org.springframework.util.Assert;
 
 
 import javax.servlet.http.HttpServletRequest;
 
@@ -72,7 +73,7 @@ public class AuthenticationProcessingFilter extends AbstractProcessingFilter {
 
         HttpSession session = request.getSession(false);
 
 
         if (session != null || getAllowSessionCreation()) {
 
-            request.getSession().setAttribute(SPRING_SECURITY_LAST_USERNAME_KEY, username);
 
+            request.getSession().setAttribute(SPRING_SECURITY_LAST_USERNAME_KEY, TextUtils.escapeEntities(username));
 
         }
 
 
         // Allow subclasses to set the "details" property