Java的TransformerFactory怎么配置和使用

TransformerFactory是JAXP中创建XSLT转换器的核心工厂类，需禁用XXE等危险特性、正确区分线程安全的工厂与非线程安全的Transformer，并推荐缓存Templates提升性能。

Java 的 TransformerFactory 是 JAXP（Java API for XML Processing）中用于创建 XSLT 转换器（Transformer）的核心工厂类。它本身不直接执行转换，而是负责加载和配置转换器实现（如内置的 Xalan、XSLTC，或第三方如 Saxon）。正确配置和使用它，关键在于理解其线程安全性、安全限制、默认行为以及如何定制。

基础用法：创建和运行简单 XSLT 转换

最简场景是将 XML 文档用 XSLT 样式表转换为结果（如 HTML 或另一份 XML）：

• 调用 TransformerFactory.newInstance() 获取实例（通常返回默认实现，如 JDK 内置的 Xalan）
• 用 newTransformer(Source xsltSource) 加载 XSLT 文件/字符串，生成可重用的 Transformer
• 调用 transform(Source xmlSource, Result output) 执行转换

示例代码：

TransformerFactory factory = TransformerFactory.newInstance();
Source xslt = new StreamSource(new File("style.xsl"));
Transformer transformer = factory.newTransformer(xslt);

Source xml = new StreamSource(new File("input.xml"));
Result result = new StreamResult(new File("output.html"));
transformer.transform(xml, result);

安全配置：禁用危险特性（必须做）

默认的 TransformerFactory 可能启用外部实体解析（XXE）、脚本执行（如 ）等高危功能，极易引发安全漏洞。JDK 7u45+ 和 JDK 8u121+ 默认已加强限制，但显式关闭更可靠：

立即学习“Java免费学习笔记（深入）”；

• 禁用 DTD 和外部实体：factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
• 禁用扩展函数（如 Java 方法调用）：factory.setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true);
• 禁用样式表中的脚本（Xalan 特有）：factory.setAttribute("http://apache.org/xalan/properties/content-handler-factory", null); 或设 http://apache.org/xalan/properties/allow-stylesheet-content-handler 为 false

这些设置应在创建 Transformer 前完成，且不可在转换过程中动态修改。

bee餐饮点餐外卖小程序

bee餐饮点餐外卖小程序是针对餐饮行业推出的一套完整的餐饮解决方案，实现了用户在线点餐下单、外卖、叫号排队、支付、配送等功能，完美的使餐饮行业更高效便捷！功能演示：1、桌号管理登录后台，左侧菜单 “桌号管理”，添加并管理你的桌号信息，添加以后在列表你将可以看到 ID 和 密钥，这两个数据用来生成桌子的二维码2、生成桌子二维码例如上面的ID为 308，密钥为 d3PiIY，那么现在去左侧菜单微信设置

下载

自定义配置：指定实现类或启用扩展

若需使用 Saxon（支持 XSLT 2.0/3.0）或启用调试、性能优化等，可通过系统属性或工厂属性指定：

• 启动时指定实现：-Djavax.xml.transform.TransformerFactory=net.sf.saxon.TransformerFactoryImpl
• 代码中强制设置：System.setProperty("javax.xml.transform.TransformerFactory", "net.sf.saxon.TransformerFactoryImpl");
• 启用模板缓存（Xalan）：factory.setAttribute("http://apache.org/xalan/properties/optimize", Boolean.TRUE);
• 设置 URI 解析器（处理 xsl:import/include 中的相对路径）：factory.setURIResolver(new MyUriResolver());

注意：不同实现支持的属性和特性差异大，务必查阅对应文档（如 Saxon 或 Xalan 官方手册）。

线程安全与复用建议

TransformerFactory 实例是线程安全的，可全局复用；而 Transformer 实例不是线程安全的，**不能共享**。

• 推荐：单例持有 TransformerFactory，每次转换前调用 newTransformer() 创建新 Transformer
• 避免：在多线程中复用同一个 Transformer，否则可能因内部状态冲突导致输出错乱或异常
• 进阶：对固定 XSLT，可缓存 Templates 对象（线程安全），再通过 templates.newTransformer() 获取轻量级 Transformer，提升性能

例如：

Templates templates = factory.newTemplates(new StreamSource(xsltFile));
// 多线程中可安全调用：
Transformer t1 = templates.newTransformer(); // 线程私有
Transformer t2 = templates.newTransformer(); // 线程私有

基本上就这些。核心是：用对工厂、关掉危险特性、按需选实现、分清工厂和转换器的复用边界。不复杂但容易忽略安全配置，上线前务必检查。