FHIR DSTU2 Java 参考实现 XhtmlParser 错误
FHIR DSTU2 Java reference implementation XhtmlParser bug
我们使用 FHIR DSTU2 Java 参考实现(me.fhir:fhir-dstu2:1.0.1.7108)并遇到 XhtmlParser 问题。
带有元素和属性白名单的 parseHtmlNode 方法非常好,我们通常希望将其用于 json 和 xml 数据。
目前只用于xml解析,还有一种解析方法,用于json解析,不强制白名单,允许恶意内联脚本。 json解析不强制执行此白名单有什么原因吗?
XhtmlParser 的安全策略 (Accept/Drop/Reject) 未作为可配置参数公开给用户。目前,我们必须在 JsonParser/XmlParser 的派生 class 中覆盖 parseXhtml 方法,并使用所需的安全策略初始化 XhtmlParser。
在安全策略设置为 Drop 的情况下,parseHtmlNode 方法由于忽略元素后缺少 xpp.next() 调用而进入无限循环。
如果 FHIR 开发人员可以对这些问题做出回应,并且可以在 Java 参考实现的小更新中修复这些问题,我将不胜感激。如果我严重误解了什么,请告诉我。
谢谢,
阿南德·莫汉
对所有 3 个的一个回应:哎呀。我会修复并发布更新
我们使用 FHIR DSTU2 Java 参考实现(me.fhir:fhir-dstu2:1.0.1.7108)并遇到 XhtmlParser 问题。
带有元素和属性白名单的 parseHtmlNode 方法非常好,我们通常希望将其用于 json 和 xml 数据。
目前只用于xml解析,还有一种解析方法,用于json解析,不强制白名单,允许恶意内联脚本。 json解析不强制执行此白名单有什么原因吗?
XhtmlParser 的安全策略 (Accept/Drop/Reject) 未作为可配置参数公开给用户。目前,我们必须在 JsonParser/XmlParser 的派生 class 中覆盖 parseXhtml 方法,并使用所需的安全策略初始化 XhtmlParser。
在安全策略设置为 Drop 的情况下,parseHtmlNode 方法由于忽略元素后缺少 xpp.next() 调用而进入无限循环。
如果 FHIR 开发人员可以对这些问题做出回应,并且可以在 Java 参考实现的小更新中修复这些问题,我将不胜感激。如果我严重误解了什么,请告诉我。
谢谢, 阿南德·莫汉
对所有 3 个的一个回应:哎呀。我会修复并发布更新