data.xml : 默认禁用支持-dtd

Question

根据 OWASP 建议[1]，应默认禁用 supporting-external-entities 和 support-dtd。
对于前者（但未包含在 0.0.8 版本中），这是正确的，但对于后者则不是。

我们是否可以认为将二者都定义为 false 是一个版本稳定版的一部分？

[1]：https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#xmlinputfactory-a-stax-parser.

Answer 1

日志记录为 https://clojure.atlassian.net/browse/DXML-74

Answer 2

“稳定”的意思是非alpha版本还是非SNAPSHOT版本吗？

Comments

根据README文件，稳定版本是0.0.8，而预览版本是0.2.0-alpha8。
我期望的是包含这两个参数被禁用（因为它是一个安全问题）的0.0.9版本。或者之后标记为新稳定版本的0.2.0。