data.xml : 默认禁用support-dtd

Question

根据OWASP建议[1]，应当默认禁用supporting-external-entities和support-dtd。
前者是如此（但不是0.0.8版本的一部分），而后者并非如此。

我们是否可以将两者都定义为false作为稳定版本的一部分？

[1]： https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#xmlinputfactory-a-stax-parser。

Answer 1

登录到https://clojure.atlassian.net/browse/DXML-74

Answer 2

您所说的“稳定版”是指非alpha版，还是非SNAPSHOT版？

Comments

根据README文件，稳定版是0.0.8，而预览版是0.2.0-alpha8。
我期望有一个0.0.9版本，其中包含这两个参数已被禁用（因为这是一个安全问题）。或者，之后将0.2.0标记为新的稳定版本。