17370845950

TransformerFactory是JAXP中创建XSLT转换器的核心工厂类，需禁用XXE等危险特性、正确区分线程安全的工厂与非线程安全的Transformer，并推荐缓存Templates提升性能。

Java 的 TransformerFactory 是 JAXP（Java API for XML Processing）中用于创建 XSLT 转换器（Transformer）的核心工厂类。它本身不直接执行转换，而是负责加载和配置转换器实现（如内置的 Xalan、XSLTC，或第三方如 Saxon）。正确配置和使用它，关键在于理解其线程安全性、安全限制、默认行为以及如何定制。

基础用法：创建和运行简单 XSLT 转换

最简场景是将 XML 文档用 XSLT 样式表转换为结果（如 HTML 或另一份 XML）：

• 调用 TransformerFactory.newInstance() 获取实例（通常返回默认实现，如 JDK 内置的 Xalan）
• 用 newTransformer(Source xsltSource) 加载 XSLT 文件/字符串，生成可重用的 Transformer
• 调用 transform(Source xmlSource, Result output) 执行转换

示例代码：

TransformerFactory factory = TransformerFactory.newInstance();
Source xslt = new StreamSource(new File("style.xsl"));
Transformer transformer = factory.newTransformer(xslt);

Source xml = new StreamSource(new File("input.xml"));
Result result = new StreamResult(new File("output.html"));
transformer.transform(xml, result);

安全配置：禁用危险特性（必须做）

默认的 TransformerFactory 可能启用外部实体解析（XXE）、脚本执行（如 ）等高危功能，极易引发安全漏洞。JDK 7u45+ 和 JDK 8u121+ 默认已加强限制，但显式关闭更可靠：

• 禁用 DTD 和外部实体：factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
• 禁用扩展函数（如 Java 方法调用）：factory.setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true);
• 禁用样式表中的脚本（Xalan 特有）：factory.setAttribute("http://apache.org/xalan/properties/content-handler-factory", null); 或设 http://apache.org/xalan/properties/allow-stylesheet-content-handler 为 false

这些设置应在创建 Transformer 前完成，且不可在转换过程中动态修改。

自定义配置：指定实现类或启用扩展

若需使用 Saxon（支持 XSLT 2.0/3.0）或启用调试、性能优化等，可通过系统属性或工厂属性指定：

• 启动时指定实现：-Djavax.xml.transform.TransformerFactory=net.sf.saxon.TransformerFactoryImpl
• 代码中强制设置：System.setProperty("javax.xml.transform.TransformerFactory", "net.sf.saxon.TransformerFactoryImpl");
• 启用模板缓存（Xalan）：factory.setAttribute("http://apache.org/xalan/properties/optimize", Boolean.TRUE);
• 设置 URI 解析器（处理 xsl:import/include 中的相对路径）：factory.setURIResolver(new MyUriResolver());

注意：不同实现支持的属性和特性差异大，务必查阅对应文档（如 Saxon 或 Xalan 官方手册）。

线程安全与复用建议

TransformerFactory 实例是线程安全的，可全局复用；而 Transformer 实例不是线程安全的，**不能共享**。

• 推荐：单例持有 TransformerFactory，每次转换前调用 newTransformer() 创建新 Transformer
• 避免：在多线程中复用同一个 Transformer，否则可能因内部状态冲突导致输出错乱或异常
• 进阶：对固定 XSLT，可缓存 Templates 对象（线程安全），再通过 templates.newTransformer() 获取轻量级 Transformer，提升性能

例如：

Templates templates = factory.newTemplates(new StreamSource(xsltFile));
// 多线程中可安全调用：
Transformer t1 = templates.newTransformer(); // 线程私有
Transformer t2 = templates.newTransformer(); // 线程私有

基本上就这些。核心是：用对工厂、关掉危险特性、按需选实现、分清工厂和转换器的复用边界。不复杂但容易忽略安全配置，上线前务必检查。