xmlstreamreader默认停在xml声明处,需调用nexttag()跳过空白和声明直达根节点;inputstream须全程有效,编码声明须与字节一致,且需禁用dtd和外部实体以防阻塞。
XMLInputFactory.createXMLStreamReader 读不到根节点?
不是工厂没创建成功,而是默认跳过了空白和声明——XMLInputFactory 创建的 XMLStreamReader 默认不自动推进到第一个元素节点,你调用 next() 或 nextTag() 前,游标还停在 XML 声明或文档开头。
- 用
nextTag()替代next(),它会自动跳过COMMENT、SPACE、PROCESSING_INSTRUCTION,直奔下一个START_ELEMENT - 如果 XML 没有声明(比如纯片段),
next()可能直接返回START_ELEMENT;但只要有<?xml version="1.0"?>,就必须先跳过 - 别依赖
getEventType() == XMLStreamConstants.START_DOCUMENT来判断是否就绪——它只在最开始出现一次,之后游标移动就失效
InputStream 被提前关闭导致 Stream closed 异常
createXMLStreamReader(InputStream) 不会复制字节流,只是持有引用。一旦你在外层关了 InputStream,再调用 next() 就抛 java.io.IOException: Stream closed。
- 确保
InputStream生命周期覆盖整个XMLStreamReader遍历过程,别在try-with-resources里只包住 factory 创建那行 - 推荐把
InputStream和XMLStreamReader放进同一个try-with-resources,但得手动实现AutoCloseable包装器,或者改用File/URL重载方法(它们内部会管理流) - 测试时用
new ByteArrayInputStream(xmlBytes)最安全,避免文件句柄干扰
中文乱码或解析失败:encoding 声明和实际字节不匹配
StAX 解析器严格按 XML 声明里的 encoding 解码字节流。如果声明写 encoding="UTF-8" 但传入的是 GBK 字节,会抛 javax.xml.stream.XMLStreamException: Invalid byte 2 of 3-byte UTF-8 sequence。
- 优先让源头输出真实 UTF-8 字节,并确保 XML 声明中
encoding="UTF-8"存在且拼写正确(大小写敏感) - 不要靠
InputStreamReader转码再塞给createXMLStreamReader——XMLStreamReader不接受 Reader,且 StAX 要求原始字节流才能识别 BOM 和声明 - 实在要处理非 UTF-8 源头,先用对应编码读成字符串,再用
String.getBytes(StandardCharsets.UTF_8)转,同时把 XML 声明中的 encoding 替换为UTF-8
性能卡在 next() 上?检查是否启用了 DTD 或外部实体
默认情况下 XMLInputFactory 允许解析 DTD 和外部实体,遇到 /code> 或 <code>&xxx; 实体时可能触发网络请求或本地文件读取,造成阻塞甚至 XXE 漏洞。
立即学习“Java免费学习笔记(深入)”;
- 必须禁用:
factory.setProperty("javax.xml.stream.isSupportingExternalEntities", false) - 同时设
factory.setProperty("javax.xml.stream.supportDTD", false),否则即使没 DTD 声明,某些老 JDK 版本仍会尝试预加载 - 如果 XML 确实含合法实体(如
&开头的非法实体
StAX 的轻量优势全建立在“你控制底层字节流 + 显式推进游标”上。一旦漏掉 nextTag()、提前关流、编码错位或放任 DTD,它就从快变成谜。
