我们使用FHIR DSTU2 Java参考实现(me.fhir:fhir-dstu2:1.0.1.7108)并遇到了XhtmlParser的问题。
带有元素和属性白名单的parseHtmlNode方法非常好,我们通常希望将它用于json和xml数据。
目前这仅用于xml解析,还有另一个用于json解析的解析方法,它不强制执行白名单并允许恶意内联脚本。有没有理由为什么这个白名单没有强制执行json解析?
XhtmlParser的安全策略(接受/删除/拒绝)不会作为可配置参数向用户公开。目前,我们必须在JsonParser / XmlParser的派生类中覆盖parseXhtml方法,并使用所需的安全策略初始化XhtmlParser。
将安全策略设置为Drop,由于忽略元素后缺少xpp.next()调用,parseHtmlNode方法进入无限循环。
如果FHIR开发人员可以响应这些问题并且可以修复Java参考实现的次要更新,我将不胜感激。如果我误解了某些内容,请告诉我。
谢谢, 阿南德·莫汉
答案 0 :(得分:1)
对所有3的回应:哎呀。我将修复并发布更新