Gradle Versions Plugin 在 Gradle 8.4+ 版本中的 XML 解析问题解析

问题背景

在使用 Gradle Versions Plugin 进行依赖版本检查时，当项目升级到 Gradle 8.4 或更高版本后，可能会遇到 XML 解析相关的错误。这个问题主要出现在 Android 项目中，错误信息表现为 SAXNotRecognizedException，提示无法识别 XML 解析器的某些属性。

问题根源

这个问题的根本原因在于 Gradle 8.4 及以上版本对 XML 解析的安全性要求更高，强制使用安全的 XML 解析器。然而，某些项目依赖（特别是 Android 相关插件）可能会引入不兼容的 XML 解析器（如 Xerces），导致解析失败。

错误信息中提到的 Property 'http://javax.xml.XMLConstants/property/accessExternalSchema' is not recognized 表明当前使用的 XML 解析器不支持 Gradle 8.4+ 要求的安全特性。

解决方案

方案一：升级相关依赖

最彻底的解决方案是升级项目中引入不安全 XML 解析器的依赖。例如：

1. 对于 Android 项目，升级 Android Gradle Plugin (AGP) 到 8.3.1 或更高版本
2. 检查其他可能引入不安全 XML 解析器的依赖项

方案二：手动指定 XML 解析器

如果暂时无法升级相关依赖，可以在项目的 gradle.properties 文件中添加以下配置，强制使用兼容的 XML 解析器：

systemProp.javax.xml.parsers.SAXParserFactory=com.sun.org.apache.xerces.internal.jaxp.SAXParserFactoryImpl
systemProp.javax.xml.transform.TransformerFactory=com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl
systemProp.javax.xml.parsers.DocumentBuilderFactory=com.sun.org.apache.xerces.internal.jaxp.DocumentBuilderFactoryImpl

这些配置会指定使用 Java 内置的安全 XML 解析器实现，绕过不兼容的第三方解析器。

技术原理

Gradle 8.4+ 版本增强了 XML 处理的安全性，要求 XML 解析器必须支持特定的安全特性。这些特性包括：

1. 限制外部实体引用，防止 XXE (XML External Entity) 攻击
2. 控制对外部模式的访问
3. 实施更严格的内容验证

当项目依赖链中混入了较旧或不兼容的 XML 解析器时，这些安全特性可能无法被正确识别和支持，导致解析失败。

最佳实践

1. 定期检查依赖：使用 gradlew buildEnvironment 命令检查项目依赖树，识别可能引入不安全 XML 解析器的依赖项
2. 优先升级：尽可能升级到最新稳定版本的插件和依赖，特别是 Android Gradle Plugin
3. 临时方案：如果必须使用旧版本插件，采用上述手动指定解析器的方法作为过渡方案
4. 环境隔离：考虑在不同项目中使用不同的 Gradle 版本，避免全局升级带来的兼容性问题

总结

Gradle Versions Plugin 在 Gradle 8.4+ 环境下遇到的 XML 解析问题，反映了现代构建工具对安全性的重视。开发者需要理解这种安全升级的必要性，并采取适当的应对措施。通过升级依赖或配置兼容的 XML 解析器，可以确保项目既能享受 Gradle 新版本带来的改进，又能保持构建过程的稳定性。