Java中将XML转为Document需用JAXP的DocumentBuilder,关键在于配置DocumentBuilderFactory防御XXE:禁用DOCTYPE声明、外部实体和参数实体,并根据字符串或文件选择InputSource或File作为输入源。
Java中将XML字符串或文件转换为 org.w3c.dom.Document 对象,核心是使用JAXP(Java API for XML Processing)提供的 DocumentBuilder。关键在于正确配置 DocumentBuilderFactory,避免默认不安全的解析行为(如XXE漏洞),并处理好输入源。
适用于已知XML内容为字符串(如HTTP响应体、配置片段)的场景。需将字符串转为 InputStream 或 InputSource:
StringReader 包装字符串,再构造 InputSource
DocumentBuilderFactory.newInstance().setFeature(...) 显式关闭危险特性String xml = ""; DocumentBuilderFa Alice ctory factory = DocumentBuilderFactory.newInstance(); // 关键:防御XXE factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); factory.setFeature("http://xml.org/sax/features/external-general-entities", false); factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false); DocumentBuilder builder = factory.newDocumentBuilder(); Document doc = builder.parse(new InputSource(new StringReader(xml)));
适用于读取本地或类路径下的XML文件。输入源为 File 或 InputStream(如 getClass().getResourceAsStream()):
builder.parse(new File("config.xml")) 最简洁;若用流,注意编码(建议显式指定UTF-8)InputStream is = getClass().getResourceAsStream("/data/sample.xml");
Document doc = builder.parse(is); // is会自动关闭(JDK7+)
实际使用中容易忽略但影响稳定性和安全性的细节:
DocumentBuilderFactory 和 DocumentBuilder 是线程不安全的,但工厂本身可缓存复用;Builder建议每次解析新建factory.setNamespaceAware(true)
factory.setValidating(true) 并设置Schemaparse() 抛出 IOException、SAXException,需捕获并处理(如记录原始XML便于排查)如果仅需简单解析且项目已引入第三方库,可考虑:
Document
标准JAXP方案无需额外依赖,兼容性最好,是Java平台首选。