Định dạng XML

XML (Extensible Markup Language) đã tồn tại hơn 25 năm, nhưng nó vẫn được tích hợp sâu vào cơ sở hạ tầng của phần mềm hiện đại: từ tài liệu Office và bố cục Android đến SOAP API, RSS feed, tệp cấu hình và quy trình bảo tồn kỹ thuật số. Nó không còn phổ biến nữa—vương miện đó đã chuyển sang JSON—nhưng XML vẫn quan trọng ở những nơi cần cấu trúc nghiêm ngặt, siêu dữ liệu phong phú và khả năng tương tác lâu dài. Mục tiêu của bài viết này là giải thích XML một cách toàn diện: nguồn gốc của nó, cách nó hoạt động, cách chúng ta xử lý và xác thực nó, cách nó so sánh với các định dạng mới hơn và cách sử dụng nó một cách an toàn và hiệu quả vào năm 2025 và sau đó.

1. XML thực sự là gì

XML là ngôn ngữ đánh dấu đơn giản hóa để biểu diễn dữ liệu và tài liệu có cấu trúc bằng cách sử dụng các phần tử và thuộc tính lồng nhau. Nó được định nghĩa bởi Extensible Markup Language (XML) 1.0 Recommendation của World Wide Web Consortium, chỉ định cú pháp cho tài liệu XML được định dạng tốt và mô tả cách các bộ xử lý nên xử lý chúng.

Đặc tả XML mô tả XML như một tập con hạn chế của SGML (Standard Generalized Markup Language), được thiết kế để dễ triển khai hơn trong khi vẫn giữ được sức mạnh cốt lõi của SGML—biểu diễn văn bản có cấu trúc với đánh dấu rõ ràng.

Một số thuộc tính chính phân biệt XML:

• Dựa trên văn bản và nhận thức Unicode. Tài liệu XML là văn bản thuần túy và dựa vào bộ ký tự Unicode/ISO 10646, làm cho chúng có thể di chuyển và độc lập với ngôn ngữ.
• Tự mô tả. Tên thẻ và thuộc tính truyền tải ý nghĩa. Không cần lược đồ riêng để hiểu cơ bản về cấu trúc (mặc dù lược đồ làm cho nó mạnh mẽ hơn nhiều).
• Phân cấp. Cấu trúc cây của XML ánh xạ trực tiếp đến dữ liệu, tài liệu và hệ thống phân cấp cấu hình lồng nhau.
• Có thể mở rộng. Bạn có thể phát minh ra các thẻ và từ vựng của riêng mình; bản thân XML không cố định tập hợp các phần tử được phép.

2. Lịch sử ngắn gọn: Từ SGML đến XML đến Web hiện đại

Nguồn gốc của XML nằm ở SGML, một tiêu chuẩn ISO từ những năm 1980 được sử dụng rộng rãi trong xuất bản và tài liệu kỹ thuật. Đến giữa những năm 1990, HTML của web (bản thân dựa trên SGML) có mặt ở khắp mọi nơi nhưng quá hạn chế và gắn chặt với trình bày.

Khoảng năm 1996–1997, một nhóm làm việc bao gồm Jon Bosak, Tim Bray, C. M. Sperberg-McQueen, James Clark và những người khác bắt đầu thiết kế một tập con SGML đơn giản hơn, thân thiện với web có thể được phân tích cú pháp dễ dàng và đáng tin cậy. Khuyến nghị XML 1.0 đầu tiên được xuất bản vào năm 1998, và XML nhanh chóng trở thành nền tảng cho nhiều tiêu chuẩn và giao thức web ban đầu, bao gồm SOAP, WSDL, SVG, XSLT và vô số từ vựng theo ngành.

Sau này, XML 1.1 đã tinh chỉnh một số trường hợp cạnh về xử lý ký tự và ký tự điều khiển, nhưng XML 1.0 vẫn là biến thể thống trị trong thực tế.

3. Cú pháp XML cốt lõi: Tài liệu được định dạng tốt

Đặc tả XML 1.0 định nghĩa một cú pháp chính xác cho tài liệu được định dạng tốt. Tối thiểu, một tài liệu XML được định dạng tốt:

• Có chính xác một phần tử gốc.
• Sử dụng các thẻ bắt đầu và kết thúc khớp nhau.
• Lồng các phần tử một cách thích hợp (không có thẻ chồng chéo).
• Sử dụng dấu ngoặc kép cho giá trị thuộc tính.
• Sử dụng các ký tự và mã hóa hợp pháp.

Một tài liệu nhỏ nhưng hợp lệ có thể trông như thế này:

<?xml version="1.0" encoding="UTF-8"?>
<note>
  <to>George</to>
  <from>Adam</from>
  <message>Hello XML!</message>
</note>

Khai báo XML là tùy chọn nhưng là cách phổ biến để chỉ định phiên bản và mã hóa ký tự. Phần tử tài liệu <note> là gốc duy nhất. Nút văn bản, phần tử, thuộc tính, nhận xét, chỉ thị xử lý và tham chiếu thực thể cùng nhau tạo thành cấu trúc cây được mô tả trong đặc tả.

XML cũng phân biệt giữa tài liệu được định dạng tốt và hợp lệ:

• Một tài liệu được định dạng tốt tuân theo các quy tắc cú pháp.
• Một tài liệu hợp lệ ngoài ra còn tuân thủ DTD hoặc lược đồ hạn chế cấu trúc và nội dung của nó.

4. Namespace: Trộn từ vựng một cách an toàn

Khi từ vựng XML tăng lên, xung đột tên trở thành một vấn đề: một từ vựng có thể sử dụng <title> cho tiêu đề sách; một từ vựng khác cho chức danh công việc. Để tránh xung đột, XML đã giới thiệu namespace, được định nghĩa trong Khuyến nghị W3C Namespaces in XML.

Ví dụ:

<book xmlns:dc="http://purl.org/dc/elements/1.1/">
  <dc:title>XML in Depth</dc:title>
</book>

Ở đây, dc:title ràng buộc tiền tố dc với namespace URI Dublin Core, phân biệt an toàn với bất kỳ phần tử <title> nào khác. Namespace rất quan trọng trong hệ sinh thái XML hiện đại: XSD, XSLT, SOAP, RSS và Office Open XML đều phụ thuộc nhiều vào chúng.

5. Xác thực: DTD, XML Schema và hơn nữa

5.1 DTD

Đặc tả XML gốc bao gồm Document Type Definitions (DTD) như một phương pháp chuẩn để định nghĩa cấu trúc được phép của tài liệu—các phần tử, thuộc tính, thực thể được phép, v.v. DTD nhỏ gọn và tích hợp tốt vào phần mở đầu XML, nhưng chúng có hạn chế: chúng sử dụng cú pháp không phải XML, có kiểu yếu và gặp khó khăn với namespace.

5.2 XML Schema (XSD)

Để giải quyết các hạn chế của DTD, W3C đã chuẩn hóa XML Schema Definition (XSD), hiện ở phiên bản 1.1, trong XML Schema Definition Language (XSD) 1.1 Part 1: Structures. XSD tự được viết bằng XML, hỗ trợ namespace và cung cấp kiểu phong phú (chuỗi, số, ngày, danh sách, liên kết), ràng buộc xuất hiện và mô hình nội dung phức tạp.

Các ngôn ngữ lược đồ khác tồn tại—như RELAX NG và Schematron—nhưng XSD vẫn là tiêu chuẩn de facto trong nhiều môi trường doanh nghiệp và theo tiêu chuẩn.

5.3 Tại sao xác thực quan trọng

Xác thực biến XML từ văn bản có cấu trúc thành một hợp đồng giữa các hệ thống. Ví dụ:

• Đặc tả tin nhắn tài chính định nghĩa lược đồ nghiêm ngặt cho hướng dẫn thanh toán.
• Các tiêu chuẩn như Office Open XML và RSS chính thức hóa định dạng tài liệu của chúng bằng lược đồ.
• Công cụ xây dựng và cấu hình xác thực các tệp như pom.xml hoặc web.config để phát hiện lỗi sớm.

6. Xử lý XML: DOM, SAX và Streaming

Bản thân XML chỉ đơn giản là văn bản. Để làm điều gì đó hữu ích, phần mềm phải phân tích cú pháp nó thành một số mô hình. Hai mô hình xử lý cổ điển là DOM và SAX.

6.1 DOM: Cây trong bộ nhớ

Đặc tả DOM Level 3 Core của W3C định nghĩa một mô hình đối tượng độc lập với ngôn ngữ đại diện cho toàn bộ cây tài liệu với các nút cho phần tử, thuộc tính, văn bản, nhận xét và hơn thế nữa. DOM thân thiện với truy cập ngẫu nhiên, dễ suy luận và được hỗ trợ rộng rãi trong các thư viện, nhưng nó yêu cầu giữ toàn bộ tài liệu trong bộ nhớ.

6.2 SAX: Streaming dựa trên sự kiện

Simple API for XML (SAX) là API dựa trên sự kiện phân tích cú pháp XML như một luồng và kích hoạt các callback cho các sự kiện như "bắt đầu phần tử" hoặc "kết thúc phần tử". Nó được mô tả tại SAX Project site và Oracle SAX tutorial.

SAX xử lý tài liệu trong một lần truyền duy nhất mà không lưu trữ toàn bộ cây, làm cho nó cực kỳ hiệu quả về bộ nhớ và lý tưởng cho các luồng lớn như nhật ký, xử lý tin nhắn hoặc chuyển đổi hàng loạt. Các API streaming dựa trên pull như StAX tuân theo các nguyên tắc tương tự.

7. XPath, XSLT và XQuery: Truy vấn và chuyển đổi XML

7.1 XPath

XPath là ngôn ngữ truy vấn nhỏ gọn để định địa chỉ các phần của tài liệu XML bằng cách sử dụng các biểu thức giống như đường dẫn như /bookstore/book[1]/title. Phiên bản mới nhất, được định nghĩa trong XPath 3.1, mở rộng mô hình để xử lý dữ liệu JSON thông qua bản đồ và mảng cũng như được hỗ trợ bởi một bộ hàm tiêu chuẩn lớn.

XPath được nhúng trong nhiều công cụ: XSLT, XQuery, khẳng định XML Schema và API trong các ngôn ngữ lập trình phổ biến.

7.2 XSLT

XSL Transformations (XSLT) là ngôn ngữ khai báo để chuyển đổi XML sang các định dạng khác—XML, HTML, văn bản hoặc trong các bộ xử lý hiện đại, JSON. Khuyến nghị XSLT 3.0 của W3C định nghĩa một hệ thống dựa trên mẫu dựa vào XPath để khớp mẫu và lựa chọn.

Bản thân stylesheet là tài liệu XML sử dụng namespace XSLT. XSLT 3.0 thêm khả năng streaming cho tài liệu khổng lồ và tích hợp nâng cao với JSON và bản đồ.

7.3 XQuery

XQuery là ngôn ngữ truy vấn đầy đủ cho kho lưu trữ XML, được định nghĩa trong XQuery 3.1. Nó được thiết kế để truy vấn và chuyển đổi bộ sưu tập dữ liệu XML, thường được lưu trữ trong cơ sở dữ liệu XML gốc hoặc kho lưu trữ tài liệu, và sử dụng biểu thức FLWOR (for, let, where, order by, return) để tạo tập kết quả mạnh mẽ.

Cùng nhau, XPath, XSLT và XQuery tạo thành một bộ công cụ phong phú để làm việc với XML ở quy mô lớn, đặc biệt trong các bối cảnh xuất bản, nhân văn kỹ thuật số, chính phủ điện tử và tích hợp dữ liệu.

8. Sử dụng thực tế của XML ngày nay

Mặc dù JSON thống trị các API web, XML vẫn được tích hợp sâu vào nhiều hệ thống và tiêu chuẩn.

8.1 Định dạng tài liệu và tiêu chuẩn

• Office Open XML (OOXML). Tài liệu Microsoft Office hiện đại (.docx, .xlsx, .pptx) là gói ZIP của các tệp XML được định nghĩa bởi ECMA-376 Office Open XML và các tiêu chuẩn ISO liên quan.
• Bảo tồn kỹ thuật số. Các tổ chức như Thư viện Quốc hội coi XML (đặc biệt là XML 1.0) như một định dạng ổn định, thân thiện với bảo tồn để biểu diễn nội dung kỹ thuật số có cấu trúc.
• Đánh dấu học thuật và kỹ thuật. TEI, DocBook và các từ vựng theo miền khác dựa trên XML, cho phép đánh dấu ngữ nghĩa và lưu trữ lâu dài.

8.2 Tin nhắn và dịch vụ web

• SOAP. Đặc tả SOAP 1.2 của W3C định nghĩa một phong bì dựa trên XML để trao đổi tin nhắn có cấu trúc qua các giao thức như HTTP.
• RSS và tổng hợp. Đặc tả RSS 2.0 định nghĩa một định dạng XML cho tổng hợp nguồn cấp dữ liệu, vẫn được sử dụng rộng rãi cho blog, tin tức và nguồn cấp sản phẩm.

8.3 Cấu hình và hệ thống xây dựng

• Maven POM. Project Object Model (pom.xml) của Apache Maven là tệp XML mô tả siêu dữ liệu dự án, phụ thuộc, plugin và cấu hình xây dựng, được ghi chép trong POM Reference và Introduction to the POM.
• Cấu hình XML Spring Framework. Ứng dụng Spring truyền thống thường định nghĩa bean và dây nối trong các tệp applicationContext.xml hoặc beans.xml, một phương pháp vẫn được mô tả trong tài liệu tham khảo Spring và các hướng dẫn như Java Guides.
• Cấu hình .NET. ASP.NET và WCF dựa vào các tệp web.config và app.config được định dạng XML để cấu hình điểm cuối, ràng buộc và hành vi, như được mô tả trong tài liệu web.config của Microsoft và hướng dẫn cấu hình WCF.

Tổng quát hơn, khi xác thực và công cụ quan trọng, đặc biệt với lược đồ hỗ trợ XSD, XML vẫn là một định dạng cấu hình phổ biến.

8.4 Di động và bố cục UI

Trên Android, bố cục UI thường được khai báo trong các tệp XML dưới res/layout. Tài liệu của Google giải thích rằng bạn viết bố cục bằng cách sử dụng từ vựng XML của Android để lồng các chế độ xem, tương tự như HTML, với một phần tử gốc duy nhất trong mỗi tệp bố cục.

9. XML vs JSON vs YAML

Đến năm 2025, JSON đã thắng rõ ràng trong cuộc cạnh tranh phổ biến cho các API web: một bài viết so sánh gần đây ước tính JSON chiếm khoảng 87% phản hồi API web, với XML là 9% và YAML là 4%.

9.1 Điểm mạnh của XML

So với JSON và YAML, XML tỏa sáng khi bạn cần:

• Lược đồ phong phú và xác thực mạnh mẽ. XSD cho phép bạn chỉ định các loại, ràng buộc và mối quan hệ phức tạp và có một hệ sinh thái công cụ và trình xác thực trưởng thành.
• Nội dung và tài liệu hỗn hợp. XML được xây dựng cho tài liệu tập trung vào văn bản nơi đánh dấu và văn bản xen kẽ; JSON và YAML tốt hơn cho dữ liệu có cấu trúc thuần túy.
• Siêu dữ liệu sâu và khả năng mở rộng. Namespace và lược đồ cho phép tài liệu chấp nhận phiên bản nơi các phần tử và thuộc tính tùy chọn có thể được thêm vào mà không làm hỏng người tiêu dùng cũ.

9.2 Điểm mạnh của JSON và YAML

JSON dễ đọc và viết hơn, ánh xạ tự nhiên đến đối tượng JavaScript và nhỏ hơn trên đường truyền. Các hướng dẫn thường chỉ ra rằng JSON bỏ qua thẻ đóng, ngắn gọn hơn và có thể được phân tích cú pháp gốc trong trình duyệt mà không cần trình phân tích XML chuyên dụng.

YAML nhấn mạnh khả năng đọc của con người cho cấu hình và phổ biến trong các công cụ DevOps như Kubernetes và Ansible, mặc dù độ phức tạp và độ nhạy cảm với thụt lề của nó có thể gây ra lỗi.

9.3 Chọn định dạng đúng

Hướng dẫn hiện đại có xu hướng như sau:

• Sử dụng JSON cho hầu hết các API web và giao tiếp client-server.
• Sử dụng YAML cho cấu hình tập trung vào nhà phát triển trong môi trường cloud/DevOps.
• Sử dụng XML khi bạn cần tài liệu dựa trên lược đồ, nội dung hỗn hợp, hệ sinh thái XML hiện có (SOAP, OOXML, WCF, bố cục Android) hoặc lưu trữ lâu dài nơi tiêu chuẩn hóa và công cụ đã trưởng thành.

10. Bảo mật: XXE và các cạm bẫy XML khác

Tính linh hoạt của XML đi kèm với các cạnh sắc nét, đặc biệt xung quanh các thực thể bên ngoài và DTD. XML External Entity (XXE) Prevention Cheat Sheet của OWASP ghi lại cách các lỗ hổng XXE có thể cho phép kẻ tấn công đọc tệp cục bộ, thực hiện giả mạo yêu cầu phía máy chủ hoặc khai thác mở rộng thực thể để gây ra từ chối dịch vụ.

Các vectơ tấn công phổ biến bao gồm:

• Thực thể bên ngoài tham chiếu tài nguyên cục bộ hoặc từ xa.
• Thực thể tham số trong DTD mở rộng thành tải trọng khổng lồ.
• Truy xuất DTD qua mạng không đáng tin cậy.

Hướng dẫn giảm thiểu thường khuyến nghị:

• Vô hiệu hóa DTD và thực thể bên ngoài trong trình phân tích càng nhiều càng tốt.
• Sử dụng cài đặt trình phân tích cú pháp được củng cố hoặc thư viện an toàn tuân theo khuyến nghị OWASP.
• Xác thực chống lại lược đồ mà không kích hoạt các tính năng nguy hiểm.

Các cân nhắc bảo mật khác bao gồm tài liệu quá lớn (cạn kiệt tài nguyên), tiêm XPath/XQuery trong các hệ thống xây dựng truy vấn từ đầu vào người dùng và các tệp cấu hình dựa trên XML được cấu hình sai có thể dẫn đến leo thang đặc quyền hoặc thực thi mã.

11. Thiết kế và thực hành tốt nhất cho XML

Khi được sử dụng một cách cẩn thận, XML vẫn là một cách sạch sẽ, mạnh mẽ để mô hình hóa dữ liệu và tài liệu. Một số hướng dẫn thực tế:

• Mô hình một cây rõ ràng. Thiết kế XML của bạn xung quanh một cây khái niệm ổn định (ví dụ: <invoice> → <lineItems> → <lineItem>), thay vì phản ánh trực tiếp một lược đồ quan hệ.
• Chọn phần tử so với thuộc tính một cách có chủ ý. Sử dụng phần tử cho nội dung và cấu trúc chính; sử dụng thuộc tính cho siêu dữ liệu và cờ.
• Sử dụng namespace ngay từ đầu. Ngay cả đối với từ vựng nhỏ, gán một namespace (ví dụ: xmlns="https://example.com/ns/invoice") tránh được việc di chuyển đau đớn sau này.
• Hỗ trợ định dạng của bạn bằng lược đồ. Cung cấp XSD (hoặc ngôn ngữ lược đồ khác) và coi nó như một phần của hợp đồng công khai của bạn. Sử dụng xác thực lược đồ tại các điểm CI và tích hợp.
• Giữ nó có thể kiểm tra bởi con người. In đẹp và nhận xét giúp gỡ lỗi, cấu hình và bảo trì lâu dài.
• Tách dữ liệu khỏi trình bày. Sử dụng XML cho cấu trúc và ý nghĩa và chuyển đổi nó sang HTML, PDF hoặc các định dạng khác bằng XSLT hoặc các công cụ khác.
• Chọn mô hình xử lý phù hợp. Đối với tài liệu nhỏ đến trung bình và truy vấn phức tạp, DOM + XPath/XSLT có thể lý tưởng; đối với luồng rất lớn hoặc môi trường bị hạn chế, sử dụng SAX, StAX hoặc xử lý dựa trên sự kiện.
• Củng cố trình phân tích cú pháp. Khi phân tích cú pháp đầu vào không đáng tin cậy, hãy làm theo hướng dẫn phòng chống XXE của OWASP và thực hành bảo mật tốt nhất của ngôn ngữ của bạn.

12. Vai trò tương lai của XML

Trong phát triển web hàng ngày, XML chủ yếu đã nhường sân khấu trung tâm cho JSON và YAML. Nhưng trong nhiều lĩnh vực—tích hợp doanh nghiệp, tiêu chuẩn tài liệu, quản lý cấu hình, bảo tồn kỹ thuật số và hệ thống kế thừa—việc viết lại mọi thứ sang định dạng mới là không khả thi hoặc không mong muốn.

Các tổ chức tiêu chuẩn như W3C và Ecma vẫn duy trì các đặc tả dựa trên XML như XML 1.x, XML Schema, XPath, XSLT, XQuery, SOAP và OOXML, và các tổ chức như Thư viện Quốc hội tiếp tục coi XML như một công cụ lưu trữ.

Đối với các nhà phát triển, điều này có nghĩa là bạn có khả năng tương tác với XML bất cứ khi nào bạn chạm vào tệp Office, bố cục Android, nhiều ngăn xếp doanh nghiệp Java, cấu hình .NET, dịch vụ SOAP/WSDL cũ hoặc trao đổi dữ liệu theo tiêu chuẩn. Hiểu cú pháp, namespace, lược đồ và mô hình xử lý của XML vẫn là một kỹ năng có giá trị, đặc biệt nếu bạn làm việc trong tích hợp, cơ sở hạ tầng hoặc hệ thống lâu dài.

XML có thể không còn là ngôi sao của các API web hiện đại, nhưng nó vẫn là một nền tảng mạnh mẽ, được chỉ định tốt và được công cụ hóa rộng rãi cho một lượng lớn phần mềm. Học sâu sẽ được đền đáp bất cứ khi nào bạn cần điều hướng cảnh quan rộng lớn của lược đồ mạnh mẽ, tài liệu phong phú hoặc các tiêu chuẩn dựa trên XML hiện có.