Форматировать XML

XML (Extensible Markup Language) существует уже более 25 лет, но он все еще вплетен в инфраструктуру современного программного обеспечения: от документов Office и макетов Android до SOAP API, RSS-лент, файлов конфигурации и рабочих процессов цифрового сохранения. Он больше не является популярным—эта корона перешла к JSON—но XML остается критически важным там, где важны жесткая структура, богатые метаданные и долгосрочная совместимость. Цель этой статьи— тщательно объяснить XML: откуда он взялся, как он работает, как мы обрабатываем и проверяем его, как он сравнивается с более новыми форматами и как использовать его безопасно и эффективно в 2025 году и далее.

1. Что такое XML на самом деле

XML—это упрощенный язык разметки для представления структурированных данных и документов с использованием вложенных элементов и атрибутов. Он определен Рекомендацией Extensible Markup Language (XML) 1.0 Консорциума World Wide Web, которая определяет синтаксис для правильно сформированных XML-документов и описывает, как процессоры должны их обрабатывать.

Спецификация XML описывает XML как ограниченное подмножество SGML (Standard Generalized Markup Language), разработанное для упрощения реализации при сохранении основной силы SGML: представление структурированного текста с явной разметкой.

Некоторые ключевые свойства делают XML отличительным:

• Текстовый и Unicode-осведомленный. XML-документы—это обычный текст и опираются на наборы символов Unicode/ISO 10646, что делает их переносимыми и независимыми от языка.
• Самоописывающий. Имена тегов и атрибуты несут смысл. Не требуется отдельная схема для базового понимания структуры (хотя схемы делают ее намного более мощной).
• Иерархический. Древовидная структура XML напрямую отображается на вложенные данные, документы и иерархии конфигурации.
• Расширяемый. Вы изобретаете свои собственные теги и словари; сам XML не фиксирует набор разрешенных элементов.

2. Краткая история: от SGML к XML к современному вебу

Корни XML лежат в SGML, стандарте ISO 1980-х годов, широко используемом в издательском деле и технической документации. К середине 1990-х HTML веба (который сам был основан на SGML) был везде, но слишком ограничен и тесно связан с представлением.

Около 1996–1997 годов рабочая группа, включающая Jon Bosak, Tim Bray, C. M. Sperberg-McQueen, James Clark и других, начала проектировать более простое, веб-дружественное подмножество SGML, которое можно было бы легко и надежно разбирать. Первая Рекомендация XML 1.0 была опубликована в 1998 году, и XML быстро стал основой для многих ранних веб-стандартов и протоколов, включая SOAP, WSDL, SVG, XSLT и многочисленные отраслевые словари.

Позже XML 1.1 уточнил некоторые крайние случаи обработки символов и управляющие символы, но XML 1.0 остается доминирующим вариантом на практике.

3. Основной синтаксис XML: правильно сформированные документы

Спецификация XML 1.0 определяет точный синтаксис для правильно сформированных документов. Минимально правильно сформированный XML-документ:

• Имеет ровно один корневой элемент.
• Использует соответствующие открывающие и закрывающие теги.
• Правильно вкладывает элементы (без перекрывающихся тегов).
• Использует кавычки для значений атрибутов.
• Использует допустимые символы и кодировки.

Крошечный, но действительный документ может выглядеть так:

<?xml version="1.0" encoding="UTF-8"?>
<note>
  <to>George</to>
  <from>Adam</from>
  <message>Hello XML!</message>
</note>

XML-декларация необязательна, но это обычный способ указать версию и кодировку символов. Элемент документа <note> является единственным корнем. Текстовые узлы, элементы, атрибуты, комментарии, инструкции обработки и ссылки на сущности вместе образуют древовидную структуру, описанную в спецификации.

XML также различает правильно сформированные и действительные документы:

• Правильно сформированный документ следует правилам синтаксиса.
• Действительный документ дополнительно соответствует DTD или схеме, которая ограничивает его структуру и содержимое.

4. Пространства имен: безопасное смешивание словарей

По мере умножения XML-словарей столкновения имен стали проблемой: одно словарь может использовать <title> для названия книги; другое—для должности. Чтобы избежать конфликтов, XML ввел пространства имен, определенные в Рекомендации W3C Namespaces in XML.

Например:

<book xmlns:dc="http://purl.org/dc/elements/1.1/">
  <dc:title>XML in Depth</dc:title>
</book>

Здесь dc:title безопасно отличается от любого другого элемента <title> путем привязки префикса dc к URI пространства имен Dublin Core. Пространства имен имеют решающее значение в современных XML-экосистемах: XSD, XSLT, SOAP, RSS и Office Open XML сильно на них полагаются.

5. Валидация: DTD, XML Schema и другие

5.1 DTD

Оригинальная спецификация XML включала Document Type Definitions (DTD) как канонический способ определения разрешенной структуры документов—разрешенных элементов, атрибутов, сущностей и т.д. DTD компактны и хорошо интегрированы в пролог XML, но они ограничены: используют не-XML синтаксис, имеют слабую типизацию и испытывают трудности с пространствами имен.

5.2 XML Schema (XSD)

Чтобы решить ограничения DTD, W3C стандартизировал XML Schema Definition (XSD), теперь версия 1.1, в XML Schema Definition Language (XSD) 1.1 Part 1: Structures. XSD сам написан на XML, поддерживает пространства имен и предоставляет богатую типизацию (строки, числа, даты, списки, объединения), ограничения вхождения и сложные модели содержимого.

Другие языки схем существуют—такие как RELAX NG и Schematron—но XSD остается де факто стандартом во многих корпоративных и стандартизированных средах.

5.3 Почему валидация важна

Валидация превращает XML из структурированного текста в контракты между системами. Например:

• Спецификации финансовых сообщений определяют строгие схемы для платежных инструкций.
• Стандарты, такие как Office Open XML и RSS, формализуют свои форматы документов с помощью схем.
• Инструменты сборки и конфигурации проверяют файлы, такие как pom.xml или web.config, чтобы рано обнаружить ошибки.

6. Обработка XML: DOM, SAX и потоковая обработка

Сам XML—это просто текст. Чтобы сделать что-то полезное, программное обеспечение должно разобрать его в некоторую модель. Две классические модели обработки—это DOM и SAX.

6.1 DOM: дерево в памяти

Спецификация DOM Level 3 Core W3C определяет языково-нейтральную объектную модель, представляющую все дерево документа, с узлами для элементов, атрибутов, текста, комментариев и многого другого. DOM дружественен к произвольному доступу, легко рассуждать о нем и широко поддерживается в библиотеках, но требует, чтобы весь документ хранился в памяти.

6.2 SAX: событийно-ориентированная потоковая обработка

Simple API for XML (SAX)—это событийно-ориентированный API, который разбирает XML как поток и вызывает обратные вызовы для событий, таких как "начало элемента" или "конец элемента". Он описан на сайте проекта SAX и в учебнике Oracle SAX.

SAX обрабатывает документы за один проход, не сохраняя все дерево, что делает его чрезвычайно эффективным по памяти и идеальным для больших потоков, таких как логи, обработка сообщений или пакетные преобразования. Потоковые API на основе pull, такие как StAX, следуют аналогичным принципам.

7. XPath, XSLT и XQuery: запросы и преобразование XML

7.1 XPath

XPath—это компактный язык запросов для адресации частей XML-документа с использованием выражений, подобных путям, таких как /bookstore/book[1]/title. Последняя версия, определенная в XPath 3.1, расширяет модель для обработки данных JSON через карты и массивы и поддерживается большим набором стандартных функций.

XPath встроен во многие инструменты: XSLT, XQuery, утверждения XML Schema и API в популярных языках программирования.

7.2 XSLT

XSL Transformations (XSLT)—это декларативный язык для преобразования XML в другие форматы—XML, HTML, текст или даже JSON в современных процессорах. Рекомендация XSLT 3.0 W3C определяет систему на основе шаблонов, которая полагается на XPath для сопоставления шаблонов и выбора.

Таблицы стилей сами являются XML-документами, использующими пространство имен XSLT. XSLT 3.0 добавляет возможности потоковой обработки для огромных документов и улучшенную интеграцию с JSON и картами.

7.3 XQuery

XQuery—это полный язык запросов для XML-репозиториев, определенный в XQuery 3.1. Он разработан для запросов и преобразования коллекций XML-данных, часто хранящихся в нативных XML-базах данных или хранилищах документов, и использует выражения FLWOR (for, let, where, order by, return) для генерации мощных наборов результатов.

Вместе XPath, XSLT и XQuery образуют богатый набор инструментов для работы с XML в масштабе, особенно в контекстах публикации, цифровых гуманитарных наук, электронного правительства и интеграции данных.

8. Реальное использование XML сегодня

Даже когда JSON доминирует в веб-API, XML все еще глубоко встроен во многие системы и стандарты.

8.1 Форматы документов и стандарты

• Office Open XML (OOXML). Современные документы Microsoft Office (.docx, .xlsx, .pptx)—это ZIP пакеты XML-файлов, определенные ECMA-376 Office Open XML и связанными стандартами ISO.
• Цифровое сохранение. Учреждения, такие как Библиотека Конгресса, рассматривают XML (особенно XML 1.0) как стабильный, дружественный к сохранению формат для представления структурированного цифрового контента.
• Научная и техническая разметка. TEI, DocBook и другие предметно-ориентированные словари основаны на XML, обеспечивая семантическую разметку и долгосрочное архивирование.

8.2 Обмен сообщениями и веб-сервисы

• SOAP. Спецификация SOAP 1.2 W3C определяет XML-основанный конверт для обмена структурированными сообщениями по протоколам, таким как HTTP.
• RSS и синдикация. Спецификация RSS 2.0 определяет XML-формат для синдикации лент, все еще широко используемый для блогов, новостей и продуктовых лент.

8.3 Конфигурация и системы сборки

• Maven POM. Project Object Model (pom.xml) Apache Maven—это XML-файл, описывающий метаданные проекта, зависимости, плагины и конфигурацию сборки, документированный в Справочнике POM и Введении в POM.
• Конфигурация XML Spring Framework. Традиционные приложения Spring часто определяют бины и проводку в файлах applicationContext.xml или beans.xml, подход, все еще описанный в справочной документации Spring и учебниках, таких как Java Guides.
• Конфигурация .NET. ASP.NET и WCF полагаются на XML-форматированные файлы web.config и app.config для настройки конечных точек, привязок и поведения, как описано в документации web.config Microsoft и руководстве по конфигурации WCF.

Более общо, XML остается распространенным форматом конфигурации, когда важны валидация и инструменты, особенно со схемами на основе XSD.

8.4 Мобильные и UI-макеты

В Android UI-макеты обычно объявляются в XML-файлах под res/layout. Документация Google объясняет, что вы пишете макеты, используя XML-словарь Android для вложения представлений, очень похоже на HTML, причем каждый файл макета содержит один корневой элемент.

9. XML vs JSON vs YAML

К 2025 году JSON явно выиграл конкурс популярности для веб-API: одна недавняя сравнительная статья оценивает JSON примерно в 87% ответов веб-API, с XML на 9% и YAML на 4%.

9.1 Сильные стороны XML

По сравнению с JSON и YAML, XML сияет, когда вам нужно:

• Богатые схемы и сильная валидация. XSD позволяет указать сложные типы, ограничения и отношения и имеет зрелую экосистему инструментов и валидаторов.
• Смешанный контент и документы. XML был создан для тексто-ориентированных документов, где разметка и текст чередуются; JSON и YAML лучше подходят для чисто структурированных данных.
• Глубокие метаданные и расширяемость. Пространства имен и схемы позволяют версионно-толерантные документы, где опциональные элементы и атрибуты могут быть добавлены без нарушения старых потребителей.

9.2 Сильные стороны JSON и YAML

JSON проще читать и писать, естественно отображается на объекты JavaScript и меньше по размеру при передаче. Учебники часто указывают, что JSON опускает закрывающие теги, более лаконичен и может быть разобран нативно в браузерах без специального XML-парсера.

YAML подчеркивает читаемость человеком для конфигурации и популярен в инструментах DevOps, таких как Kubernetes и Ansible, хотя его сложность и чувствительность к отступам могут вносить ошибки.

9.3 Выбор правильного формата

Современные рекомендации, как правило, таковы:

• Используйте JSON для большинства веб-API и клиент-серверной коммуникации.
• Используйте YAML для конфигурации, ориентированной на разработчиков, в облачных/DevOps-средах.
• Используйте XML, когда вам нужны документы на основе схем, смешанный контент, существующие XML-экосистемы (SOAP, OOXML, WCF, макеты Android) или долгосрочное архивирование, где стандартизация и инструменты зрелы.

10. Безопасность: XXE и другие XML-ловушки

Гибкость XML приходит с острыми краями, особенно вокруг внешних сущностей и DTD. Шпаргалка по предотвращению XML External Entity (XXE) OWASP документирует, как уязвимости XXE позволяют злоумышленникам читать локальные файлы, выполнять подделку запросов на стороне сервера или вызывать отказ в обслуживании путем эксплуатации расширения сущностей.

Общие векторы атак включают:

• Внешние сущности, ссылающиеся на локальные или удаленные ресурсы.
• Параметрические сущности в DTD, которые расширяются в огромные полезные нагрузки.
• Получение DTD по ненадежным сетям.

Рекомендации по смягчению обычно рекомендуют:

• Отключение DTD и внешних сущностей в парсерах, когда это возможно.
• Использование усиленных настроек парсера или безопасных библиотек, следующих рекомендациям OWASP.
• Валидация против схем без включения рискованных функций.

Другие соображения безопасности включают слишком большие документы (истощение ресурсов), инъекции XPath/XQuery в системах, которые строят запросы из пользовательского ввода, и неправильно настроенные XML-основанные файлы конфигурации, ведущие к повышению привилегий или выполнению кода.

11. Дизайн и лучшие практики для XML

При вдумчивом использовании XML остается чистым, надежным способом моделирования данных и документов. Некоторые практические рекомендации:

• Моделируйте четкое дерево. Проектируйте ваш XML вокруг стабильного концептуального дерева (например, <invoice> → <lineItems> → <lineItem>), а не отражая реляционную схему напрямую.
• Выбирайте элементы против атрибутов намеренно. Используйте элементы для основного контента и структур; используйте атрибуты для метаданных и флагов.
• Используйте пространства имен с самого начала. Даже для небольших словарей назначение пространства имен (например, xmlns="https://example.com/ns/invoice") избегает болезненных миграций позже.
• Поддерживайте ваш формат схемой. Предоставляйте XSD (или другой язык схем) и относитесь к нему как к части вашего публичного контракта. Используйте валидацию схемы в CI и в точках интеграции.
• Держите его проверяемым человеком. Красивая печать и комментарии помогают отладке, конфигурации и долгосрочному обслуживанию.
• Отделяйте данные от представления. Используйте XML для структуры и смысла и преобразуйте его в HTML, PDF или другие форматы с помощью XSLT или других инструментов.
• Выбирайте подходящие модели обработки. Для небольших и средних документов и сложных запросов DOM + XPath/XSLT может быть идеальным; для очень больших потоков или ограниченных сред используйте SAX, StAX или событийно-ориентированную обработку.
• Укрепляйте парсеры. Следуйте рекомендациям по предотвращению XXE OWASP и лучшим практикам безопасности вашего языка при разборе ненадежного ввода.

12. Будущая роль XML

В повседневной веб-разработке XML в значительной степени уступил центральную сцену JSON и YAML. Но во многих доменах—корпоративная интеграция, стандарты документов, управление конфигурацией, цифровое сохранение и унаследованные системы—переписывание всего в более новые форматы либо неосуществимо, либо нежелательно.

Органы стандартов, такие как W3C и Ecma, все еще поддерживают XML-основанные спецификации, такие как XML 1.x, XML Schema, XPath, XSLT, XQuery, SOAP и OOXML, и учреждения, такие как Библиотека Конгресса, продолжают рассматривать XML как архивную рабочую лошадку.

Для разработчиков это означает, что вы, вероятно, будете взаимодействовать с XML всякий раз, когда касаетесь файлов Office, макетов Android, многих Java корпоративных стеков, конфигурации .NET, старых сервисов SOAP/WSDL или стандартизированного обмена данными. Понимание синтаксиса, пространств имен, схем и моделей обработки XML остается ценным навыком, особенно если вы работаете в интеграции, инфраструктуре или долгоживущих системах.

XML может больше не быть звездой современных веб-API, но он все еще является прочным, хорошо специфицированным и сильно инструментированным фундаментом для огромного количества программного обеспечения. Глубокое изучение окупается всякий раз, когда вам нужны сильные схемы, богатые документы или навигация по обширному ландшафту существующих XML-основанных стандартов.