Мое существующее приложение Spring Web MVC имеет следующее отображение обработчика в контроллере.
@RequestMapping(method = RequestMethod.GET, value = "/welcome")
Я запускаю следующий запрос http://www.example.com/welcome
, и это отлично работает.
Проблема
http://www.example.com/welcome.check.blah
также работает!!!
Кроме того, URL-адрес запроса HTTP GET для приложения с тегом script становится повторно отображаемым, хотя он не выполняет авторизацию.
Пример http://www.example.com/welcome<script>alert("hi")</script>
отображается повторно как таковой в окне браузера, и в результате моей логики авторизации отображается сообщение "Не авторизованное".
Интересно, является ли это проблемой безопасности и нужно ли мне кодировать/фильтровать код?