Java如何将XML转换为org.w3c.dom.Document对象

Java中将XML转为Document需用JAXP的DocumentBuilder，关键在于配置DocumentBuilderFactory防御XXE：禁用DOCTYPE声明、外部实体和参数实体，并根据字符串或文件选择InputSource或File作为输入源。

Java中将XML字符串或文件转换为 org.w3c.dom.Document 对象，核心是使用JAXP（Java API for XML Processing）提供的 DocumentBuilder。关键在于正确配置 DocumentBuilderFactory，避免默认不安全的解析行为（如XXE漏洞），并处理好输入源。

从XML字符串解析为Document

适用于已知XML内容为字符串（如HTTP响应体、配置片段）的场景。需将字符串转为 InputStream 或 InputSource：

• 用 StringReader 包装字符串，再构造 InputSource
• 禁用外部DTD和实体解析，防止XXE攻击（必须设置）
• 推荐使用 DocumentBuilderFactory.newInstance().setFeature(...) 显式关闭危险特性

示例代码：

String xml = "Alice";
DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
// 关键：防御XXE
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

DocumentBuilder builder = factory.newDocumentBuilder();
Document doc = builder.parse(new InputSource(new StringReader(xml)));

从XML文件解析为Document

适用于读取本地或类路径下的XML文件。输入源为 File 或 InputStream（如 getClass().getResourceAsStream()）：

• 若文件路径来自用户输入，务必校验路径合法性，避免目录遍历
• 仍需保持上述安全特性设置，不可省略
• 使用 builder.parse(new File("config.xml")) 最简洁；若用流，注意编码（建议显式指定UTF-8）

示例（类路径资源）：

InputStream is = getClass().getResourceAsStream("/data/sample.xml");
Document doc = builder.parse(is); // is会自动关闭（JDK7+）

常见问题与注意事项

实际使用中容易忽略但影响稳定性和安全性的细节：

• 工厂实例可复用：DocumentBuilderFactory 和 DocumentBuilder 是线程不安全的，但工厂本身可缓存复用；Builder建议每次解析新建
• 命名空间支持：如需处理带命名空间的XML，调用 factory.setNamespaceAware(true)
• 验证模式：默认不校验XML格式。若需DTD/XSD校验，启用 factory.setValidating(true) 并设置Schema
• 异常处理：parse() 抛出 IOException、SAXException，需捕获并处理（如记录原始XML便于排查）

替代方案（轻量需求）

如果仅需简单解析且项目已引入第三方库，可考虑：

• JAXB：适合XML与Java对象双向绑定，不直接返回 Document
• Jsoup：对格式不良的XML容错更强，但本质是HTML解析器，非标准XML方案
• DOM4J：API更简洁，但需额外依赖，且返回的是自有Document类型，需转换

标准JAXP方案无需额外依赖，兼容性最好，是Java平台首选。