Jenkins с плагином обратного прокси-сервера Embeded Winstone (с заголовком http), использующим сервер winstone

Я успешно настроил Jenkins для использования единого входа с идентификатором Ping ( Ping Access) с помощью плагина обратного прокси-сервера (• Имя пользователя заголовка: X-Forwarded-User) и авторизации пользователей через группы LDAP. Все отлично работает

Но проблема заключается в риске введения заголовка. Я использую сервер Winstone Embebed. Не удалось найти способ обезопасить серверную часть от риска инъекций. Обратный прокси-сервер использует HTTP-заголовки для аутентификации.

Например, любой может войти в систему из бэкэнда, скажем, на машине с Linux (с помощью curl):

curl -k https://yourserver.domain-name.com:8081/whoAmI/ -H "X-Forwarded-User: ABCD786" -v

Ваша помощь будет оценена. Мы не используем сервер Apache или веб-сервер (HTTP). Развернули Jenkins с встраиваемым сервером WinStone.