【发布时间】:2016-02-26 02:25:39
【问题描述】:
我们使用 FHIR DSTU2 Java 参考实现 (me.fhir:fhir-dstu2:1.0.1.7108),遇到了 XhtmlParser 的问题。
带有元素和属性白名单的 parseHtmlNode 方法非常好,我们通常希望将它用于 json 和 xml 数据。
目前只用于xml解析,还有一种解析方式,用于json解析,不强制白名单,允许恶意内联脚本。有没有什么理由说明为什么不对json解析强制执行这个白名单?
XhtmlParser 的安全策略(Accept/Drop/Reject)不会作为可配置参数向用户公开。目前,我们必须重写 JsonParser/XmlParser 派生类中的 parseXhtml 方法,并使用所需的安全策略初始化 XhtmlParser。
将安全策略设置为 Drop 时,由于忽略元素后缺少 xpp.next() 调用,parseHtmlNode 方法进入无限循环。
如果 FHIR 开发人员能够响应这些问题,并且如果可以在 Java 参考实现的小更新中修复这些问题,我将不胜感激。如果我严重误解了什么,请告诉我。
谢谢, 阿南德·莫汉
【问题讨论】: