我们使用FHIR DSTU2 Java参考实现(me.fhir:fhir-dstu2:1.0.1.7108),并且遇到了XhtmlParser的问题。FHIR DSTU2 Java参考实现XhtmlParser错误
parseHtmlNode方法,元素和属性的白名单,是非常好的,我们通常希望既用于json也用于xml数据。
当前仅用于XML解析和有另一种解析方法,用于JSON解析,不执行白名单,并允许恶意内嵌脚本。是否有任何理由为什么这个白名单不是强制json解析?
XhtmlParser的安全策略(Accept/Drop/Reject)不作为可配置参数向用户公开。目前,我们必须在JsonParser/XmlParser的派生类中重写parseXhtml方法,并使用所需的安全策略初始化XhtmlParser。
将安全策略设置为Drop后,由于在忽略元素后缺少xpp.next()调用,parseHtmlNode方法进入无限循环。
我将不胜感激,如果FHIR开发人员能够应对这些问题,如果他们可以固定在一个次要更新到Java实现。如果我严重误解了某些内容,请让我知道。
感谢, 阿南德·莫汉
我假设此更新将作为me.fhir的新版本:fhir-dstu2?那是对的吗?如果是这样,发布这个的时间表是什么?在此先感谢Anand Mohan – Modic