Witam,
Sprawa dość świeża (2008-07-07) – i godna uwagi.
Badania jakie przeprowadzili pracownicy Ounce Lab, potwierdzone zresztą przez Spring Source pokazują bardzo niebezpieczną lukę w technologi MVS zastosowanej w frameworku – zgodzę się tu z twórcami technologi – iż nie wynika ona z błędu – ale raczej z sposobu użycia tejże.
Ale do sedna. Niebezpieczeństwo to dotyka implementacji kontrolerów formularzy – zarówno standardowego jak i tzw. wizard’a – AbstractWizardFormController – (formularza wielostronicowego – inaczej też – kreatora). Spring, mówiąc krótko i zwięźle binduje wszystkie znalezione elementy zapytania (request) do obiektu formularza – przy …