SIDP-482: add encoder calls to default error pages
authorcantor <cantor@ab3bd59b-922f-494d-bb5f-6f0a3c29deca>
Tue, 12 Apr 2011 19:51:56 +0000 (19:51 +0000)
committercantor <cantor@ab3bd59b-922f-494d-bb5f-6f0a3c29deca>
Tue, 12 Apr 2011 19:51:56 +0000 (19:51 +0000)
git-svn-id: https://subversion.switch.ch/svn/shibboleth/java-idp/branches/REL_2@3013 ab3bd59b-922f-494d-bb5f-6f0a3c29deca

src/main/webapp/error.jsp
src/main/webapp/login-error.jsp

index 1ff2f3d..cd46312 100644 (file)
@@ -2,7 +2,6 @@
 <%@ taglib uri="/mdui" prefix="mdui" %>
 
 <html>
 <%@ taglib uri="/mdui" prefix="mdui" %>
 
 <html>
-
 <body>
        <img src="<%= request.getContextPath() %>/images/logo.jpg" />
        <h3>ERROR</h3>
 <body>
        <img src="<%= request.getContextPath() %>/images/logo.jpg" />
        <h3>ERROR</h3>
           going back to your desired resource and trying to login again.
        </p>
         <p>
           going back to your desired resource and trying to login again.
        </p>
         <p>
-           If you think you were went here in error please contact <mdui:serviceContact>technical support</mdui:serviceContact>
+           If you think you were sent here in error,
+           please contact <mdui:serviceContact>technical support</mdui:serviceContact>
         </p>       
        <% 
        Throwable error = (Throwable) request.getAttribute(AbstractErrorHandler.ERROR_KEY);
           if(error != null){
         </p>       
        <% 
        Throwable error = (Throwable) request.getAttribute(AbstractErrorHandler.ERROR_KEY);
           if(error != null){
+              org.owasp.esapi.Encoder esapiEncoder = org.owasp.esapi.ESAPI.encoder();
        %>
        %>
-       <strong>Error Message: <%= error.getMessage() %></strong>
+       <strong>Error Message: <%= esapiEncoder.encodeForHTML(error.getMessage()) %></strong>
        <% } %>
 
        <% } %>
 
-
-       
 </body>
 </body>
-
 </html>
\ No newline at end of file
 </html>
\ No newline at end of file
index 4af56a6..3d5b07b 100644 (file)
@@ -9,8 +9,11 @@
 <body>
        <img src="<%= request.getContextPath() %>/images/logo.jpg" />
        <h3>ERROR</h3>
 <body>
        <img src="<%= request.getContextPath() %>/images/logo.jpg" />
        <h3>ERROR</h3>
-       <% if (error != null){%>
-       Error Message: <%= error.getMessage() %>
+       <%
+       if (error != null) {
+           org.owasp.esapi.Encoder esapiEncoder = org.owasp.esapi.ESAPI.encoder();
+       %>
+       Error Message: <%= esapiEncoder.encodeForHTML(error.getMessage()) %>
        <% } %>
 </body>
 
        <% } %>
 </body>