XML文件上传必须用@Consumes(MediaType.MULTIPART_FORM_DATA)，因HTTP请求体为multipart/form-data而非纯XML；需引入jersey-media-multipart依赖，用@FormDataParam获取InputStream并以JAXBContext解析，同时禁用外部DTD防XXE。

XML文件上传必须用 @Consumes(MediaType.MULTIPART_FORM_DATA)

Jersey 默认不支持 multipart 解析，直接写 @Consumes("application/xml") 会 415 Unsupported Media Type。XML 文件作为二进制附件上传时，HTTP 请求体是 multipart/form-data，不是纯 XML 文本。所以服务端接口必须显式声明接收 multipart，并手动提取其中的 XML 部分。

• 不能只靠 @XmlRootElement 类自动绑定 —— 这只适用于纯 XML POST（Content-Type: application/xml），不适用于带文件字段的表单上传
• 必须引入 jersey-media-multipart 依赖（Jersey 2.x）或 mimepull（旧版），否则 @FormDataParam 注解无效
• 客户端必须用 multipart/form-data 编码，且 XML 文件需作为独立 part 上传，不能拼在 JSON 或文本字段里

用 @FormDataParam 获取 XML 文件流并解析

拿到 InputStream 后，推荐用 JAXBContext 解析（前提是 XML 结构已定义对应 Java 类），避免手动 DOM/SAX 处理。注意：JAXB 默认不处理外部 DTD，若 XML 含 DOCTYPE 且未禁用，会抛 javax.xml.bind.UnmarshalException。

import javax.ws.rs.Consumes;
import javax.ws.rs.POST;
import javax.ws.rs.Path;
import javax.ws.rs.core.MediaType;
import javax.ws.rs.core.Response;
import javax.xml.bind.JAXBContext;
import javax.xml.bind.Unmarshaller;
import org.glassfish.jersey.media.multipart.FormDataContentDisposition;
import org.glassfish.jersey.media.multipart.FormDataParam;

@Path("/upload")
public class XmlUploadResource {

    @POST
    @Consumes(MediaType.MULTIPART_FORM_DATA)
    public Response uploadXml(
            @FormDataParam("file") InputStream xmlStream,
            @FormDataParam("file") FormDataContentDisposition fileDetail) {

        try {
            JAXBContext ctx = JAXBContext.newInstance(MyXmlRoot.class);
            Unmarshaller unmarshaller = ctx.createUnmarshaller();
            // 关键：禁用 DTD 和外部实体，防 XXE
            unmarshaller.setProperty("javax.xml.XMLConstants.ACCESS_EXTERNAL_DTD", "");
            unmarshaller.setProperty("javax.xml.XMLConstants.ACCESS_EXTERNAL_SCHEMA", "");

            MyXmlRoot obj = (MyXmlRoot) unmarshaller.unmarshal(xmlStream);
            return Response.ok("Parsed: " + 
obj.getId()).build();

        } catch (Exception e) {
            return Response.status(400).entity("Parse failed: " + e.getMessage()).build();
        }
    }
}

客户端 curl 示例必须带 -F 和正确字段名

字段名（如 file）必须和服务端 @FormDataParam("file") 一致；XML 文件路径要真实存在，且 curl 会自动设置 Content-Type 和 boundary。

curl -X POST \
  http://localhost:8080/api/upload \
  -F "file=@/path/to/data.xml"

• 如果服务端用 @FormDataParam("xmlFile")，这里必须写 -F "xmlFile=@..."
• 不要加 -H "Content-Type: multipart/form-data" —— curl 会自动设置，手动加反而可能破坏 boundary
• 若 XML 文件含中文，确保文件本身是 UTF-8 编码，且 声明存在（JAXB 依赖它识别编码）

常见 400 错误：Unable to process form content

这通常不是业务逻辑问题，而是 Jersey multipart 模块没加载成功。检查以下三点：

• web.xml 中是否注册了 MultipartConfigFeature（Servlet 3.0+）或 MultiPartFeature（Jersey 2.x）
• Maven 依赖是否完整：jersey-media-multipart 版本必须和 jersey-server 一致（如 2.35）
• Spring Boot 用户注意：不能只靠 spring-boot-starter-jersey，必须额外添加 jersey-media-multipart 依赖

XXE 防护容易被忽略 —— 即使你的 XML 很简单，一旦服务暴露公网，攻击者可构造恶意 DOCTYPE 触发外联请求或读取本地文件。JAXB 的 ACCESS_EXTERNAL_* 属性必须显式设为空字符串，设为 null 无效。