我们使用FHIR DSTU2 Java参考实现(me.fhir:fhir-dstu2:1.0.1.7108),遇到了XhtmlParser的问题。
parseHtmlNode方法,带有元素和属性白名单,非常好,我们通常希望将其用于json和xml数据。
-
目前,这仅用于 xml 解析,还有另一种用于 json 解析的解析方法,它不强制执行白名单并允许恶意内联脚本。有什么理由不对 json 解析强制执行此白名单吗?
-
Xhtml解析器的安全策略(接受/删除/拒绝)不会作为可配置参数向用户公开。目前,我们必须在 JsonParser/XmlParser 的派生类中重写 parseXhtml 方法,并使用所需的安全策略初始化 XhtmlParser。
-
将安全策略设置为 Drop 时,parseHtmlNode 方法由于忽略元素后缺少 xpp.next() 调用而进入无限循环。
如果 FHIR 开发人员能够响应这些问题,并且是否可以在 Java 参考实现的次要更新中修复这些问题,我将不胜感激。如果我严重误解了什么,请告诉我。
谢谢阿南德·莫汉
对所有 3 个都有一个回应:哎呀。我将修复并发布更新