Stream: german (d-a-ch)
Topic: Injections in FHIR Feldern vom Typ String
Uwe Beckert (Sep 13 2021 at 09:58):
Einige Felder in einer fhir ressource sind vom Typ String, z.B. Patient.name.given (https://simplifier.net/demis/notifiedperson). Dort kann man "böse" Sonderzeichen einschleusen, die dann eine Injection beim abfragenden System auslösen können, z.B. Patient.name.given="...<script>alert('HAHA!')</script>...". Daher möchte ich die Zeichen und Länge der Strings gerne begrenzen.
Wie ist da die BestPractice bei FHIR,
a) das direkt in den FHIR Profilen als Constraint zu machen, oder
b) das im FHIR Server selber zu implementieren?
Patrick Werner (Sep 13 2021 at 10:01):
Ich würde Sanitizing serverseitig implementieren, SQL und andere Injections sind ja nicht auf FHIR beschränkt.
Patrick Werner (Sep 13 2021 at 10:02):
Hier die constraints in FHIR zu nutzen vermischt das Informationslayer mit dem technischen.
Last updated: Apr 12 2022 at 19:14 UTC
