Voltar ao Blog/XML

XML em 2026: Ainda é Relevante para o Desenvolvimento Moderno?

28 de fevereiro de 2026· 18 min leitura· XML

Vou ser honesto — quando vejo "XML" em 2026, meu primeiro instinto é pensar "código legado". Mas isso é injusto. O XML está silenciosamente alimentando alguns dos sistemas mais críticos do planeta, e não vai embora tão cedo. Deixe-me mostrar por quê.

Onde o XML Ainda Manda

Bancos e finanças: Toda vez que você faz uma transferência bancária na Europa, há uma boa chance de ela passar por mensagens ISO 20022 — que são XML. Relatórios financeiros usam XBRL (também XML). Estamos falando de trilhões de dólares fluindo por tubulações XML todos os dias.

Saúde: HL7 FHIR usa tanto JSON quanto XML, mas as mensagens HL7 v2/v3 mais antigas nas quais a maioria dos sistemas hospitalares funciona? XML puro. Prontuários de pacientes, resultados de laboratório, prescrições — tudo XML.

Seus documentos Office: Cada arquivo .docx, .xlsx e .pptx é na verdade um arquivo ZIP cheio de arquivos XML. Abra um deles algum dia — é fascinante (e um pouco assustador).

Desenvolvimento Android: Cada arquivo de layout no Android é XML. activity_main.xml é provavelmente o primeiro arquivo que todo desenvolvedor Android cria.

Ferramentas de build: O pom.xml do Maven, os arquivos .csproj do .NET, as configurações do Spring Framework — XML está profundamente integrado nas toolchains empresariais.

O Que o XML Pode Fazer e o JSON Não

Namespaces: Imagine combinar elementos de vocabulários diferentes em um documento sem colisão de nomes. Namespaces XML tornam isso possível. É essencial para formatos como SVG embutido em HTML, ou misturar cabeçalhos SOAP com payloads personalizados.

Conteúdo misto: Tente representar um parágrafo onde algumas palavras são negrito e outras são itálico em JSON. No melhor dos casos, é desajeitado. XML lida com isso naturalmente porque foi projetado para documentos, não apenas para dados.

Transformações XSLT: Você pode escrever uma única folha de estilo XSLT que transforma XML em HTML, PDF, outro formato XML ou texto puro. É uma linguagem de transformação declarativa sem equivalente real no mundo JSON.

Validação de schema: XML Schema (XSD) é mais expressivo que JSON Schema em muitas áreas. Pode impor ordem de elementos, hierarquias de tipos complexas e restrições entre campos com as quais JSON Schema tem dificuldade.

Um Exemplo do Mundo Real

Digamos que você está construindo um sistema de e-commerce que precisa gerar faturas. Com XML + XSLT, você armazena os dados da fatura em XML e aplica diferentes folhas de estilo XSLT para gerar: uma versão HTML para o navegador, uma versão PDF para impressão e uma versão EDI para o sistema do fornecedor — tudo a partir dos mesmos dados fonte. Tente fazer isso com JSON.

Namespaces XML em Ação

Namespaces são um daqueles recursos XML que parecem confusos até você realmente precisar deles. Aqui vai um exemplo prático — um ícone SVG embutido dentro de um documento XHTML:

xml

Sem namespaces, o parser não saberia se pertence ao vocabulário HTML ou ao vocabulário SVG. Namespaces permitem misturar vocabulários livremente em um único documento, e isso é algo para o qual o JSON simplesmente não tem mecanismo.

Erros Comuns Que Desenvolvedores Cometem com XML

Depois de anos trabalhando com XML em sistemas de produção, aqui estão as armadilhas que vejo com mais frequência:

1. Ignorar declarações de encoding. Se seu arquivo XML contém caracteres não-ASCII mas você esquece a declaração de encoding, os parsers vão assumir UTF-8 ou qualquer que seja o padrão deles. Sempre declare explicitamente:

xml

2. Usar atributos quando elementos fazem mais sentido. Atributos não podem conter estruturas complexas, não podem se repetir e não evoluem facilmente. Se um valor pode se tornar mais complexo depois, use um elemento filho.

3. Não validar contra um schema. Passar XML sem validar é a receita para falhas silenciosas. Se você tem um XSD, use-o. Ele detecta problemas de dados no momento do parsing em vez de deixar dados ruins se espalharem pelo sistema.

4. Construir XML por concatenação de strings. Nunca faça isso — é uma vulnerabilidade de injeção esperando para acontecer. Sempre use uma biblioteca XML apropriada ou um construtor DOM.

Dicas de Performance para Processamento XML

Parsers XML vêm em dois sabores principais, e escolher o certo importa muito para a performance:

  • Parsers DOM carregam o documento inteiro na memória como uma árvore. Ótimo para documentos pequenos a médios onde você precisa de acesso aleatório. Ruim para arquivos grandes — um arquivo XML de 100MB pode consumir 1GB+ de RAM como árvore DOM.
  • Parsers SAX/StAX processam o documento como um stream, um elemento por vez. Usam quase nenhuma memória e são muito mais rápidos para arquivos grandes. A desvantagem é que você não pode pular de um lugar para outro no documento.

Aqui vai a regra geral: se seu XML tem menos de 10MB, DOM funciona bem. Acima de 10MB, considere seriamente streaming. Acima de 100MB, streaming é obrigatório, a menos que você goste de ver seu servidor ficar sem memória.

XML vs JSON: Referência Rápida

RecursoXMLJSON
ComentáriosSim ()Não
NamespacesSimNão
Validação de schemaXSD, RelaxNG, SchematronJSON Schema
Conteúdo mistoSuporte nativoGambiarras desajeitadas
Tipos de dadosVia XSDString, number, boolean, null, array, object
TransformaçãoXSLTCódigo personalizado
Tamanho do arquivoMaior (tags verbosas)Menor
Velocidade de parsingMais lentoMais rápido
Legibilidade humanaBoa (quando formatado)Boa

Uma Breve História do XML

O XML foi publicado como recomendação do W3C em fevereiro de 1998. Foi projetado como um subconjunto simplificado do SGML (Standard Generalized Markup Language), que existia desde os anos 1980 mas era notoriamente complexo. O objetivo era criar um formato que fosse legível tanto para humanos quanto para máquinas, rigoroso o suficiente para evitar ambiguidades e flexível o suficiente para qualquer domínio. Na primeira década dos anos 2000, o XML era *o* formato de troca de dados. Serviços web SOAP, feeds RSS, feeds Atom, XHTML — tudo era XML. Então o JSON chegou e tomou conta do espaço de APIs web, mas o XML manteve todos os domínios onde seus recursos únicos (namespaces, schemas, transformações) realmente importam.

O Desenvolvedor XML Moderno

A maioria dos desenvolvedores hoje trabalha em ambientes híbridos. Usam JSON para APIs web e comunicação em tempo real, e XML para processamento de documentos, integração empresarial e conformidade regulatória. Conhecer ambos os formatos — e quando usar cada um — é uma habilidade genuinamente valiosa.

Segurança XML: XXE e Outras Armadilhas

Se tem uma coisa no XML que tira o sono dos engenheiros de segurança, é XXE — ataques de XML External Entity. E honestamente, deveria te preocupar também. XXE está na lista OWASP Top 10 por bons motivos, e ainda pega desenvolvedores desprevenidos em 2026.

Funciona assim: XML permite definir "entidades" — basicamente variáveis — na declaração de tipo de documento (DTD). Uma entidade *externa* pode referenciar uma URL ou caminho de arquivo no servidor. Se o parser está configurado para resolver entidades externas (muitos estão por padrão), um atacante pode criar XML que lê arquivos arbitrários do seu servidor:

xml

Quando o parser processa isso, ele substitui &xxe; pelo conteúdo de /etc/passwd. Assim, simples assim, um atacante lê arquivos sensíveis do seu sistema. Em ataques mais avançados, eles podem até fazer requisições HTTP de saída do seu servidor (Server-Side Request Forgery), ou causar negação de serviço com o infame ataque "billion laughs" — uma expansão recursiva de entidades que consome toda a memória disponível.

A correção é direta: desabilite o processamento de entidades externas. Veja como em duas linguagens populares:

javascript
python

Além do XXE, fique atento à injeção XML — onde entrada do usuário é inserida em XML sem o escape adequado. É o equivalente XML da injeção SQL. Sempre use uma biblioteca construtora de XML apropriada em vez de concatenação de strings (o que já mencionei na seção de erros comuns, mas vale repetir porque é *muito* importante).

A regra de ouro: nunca faça parsing de XML não confiável com as configurações padrão do parser. Sempre desabilite explicitamente a resolução de entidades externas, o processamento de DTD e o processamento de XInclude. Trate XML do mundo exterior com a mesma desconfiança que você teria com entrada de usuário em uma query SQL.

XPath: Consultando XML Como um Profissional

Se você trabalha com XML regularmente e não está usando XPath, está fazendo do jeito difícil. XPath é uma linguagem de consulta projetada especificamente para navegar documentos XML, e é incrivelmente poderosa quando você pega o jeito.

Pense no XPath como seletores CSS, mas para XML. Em vez de percorrer o DOM manualmente com loops aninhados, você escreve uma expressão concisa que seleciona exatamente os nós que deseja. Aqui vão alguns exemplos práticos:

plaintext

Veja como usar XPath em JavaScript e Python — as duas linguagens mais usadas pelos desenvolvedores:

javascript
python

Uma coisa que vale mencionar: JSON não tem linguagem de consulta embutida. O equivalente mais próximo é jq, que é fantástico mas é uma ferramenta externa, não uma parte padronizada do formato. XPath está integrado ao ecossistema XML — suportado nativamente pelos navegadores, disponível em praticamente todas as linguagens de programação e padronizado pelo W3C. É uma das verdadeiras vantagens competitivas do XML.

XPath também é a base do XSLT (que seleciona nós para transformar) e do XQuery (uma linguagem de consulta completa para bancos de dados XML). Uma vez que você aprende XPath, você desbloqueou toda uma família de tecnologias XML.

XML em Padrões Específicos da Indústria

Mencionei bancos e saúde antes, mas o alcance do XML em padrões específicos da indústria vai muito mais fundo. Aqui está um tour pelos domínios onde XML não é apenas usado — é *obrigatório*:

Jurídico: A indústria jurídica depende fortemente de XML para processos judiciais e gestão de casos. LegalXML, desenvolvido pela OASIS, padroniza processos eletrônicos, citações legais e metadados de casos. Nos EUA, muitos sistemas judiciais estaduais exigem formatos de arquivo eletrônico baseados em XML. Se você está construindo legal tech, está construindo sobre XML.

Editorial: Esta surpreende muita gente — cada ebook EPUB que você já leu é construído sobre XML. Arquivos EPUB são arquivos ZIP contendo arquivos de conteúdo XHTML (que são XML), um descritor de pacote OPF (XML) e um documento de navegação (XML). DocBook, outro formato XML, é o padrão para documentação técnica desde os anos 1990. A O'Reilly Media famosamente usou DocBook por anos para produzir seus livros em múltiplos formatos de saída a partir de uma única fonte XML.

Ciência e Matemática: MathML é o padrão W3C para representar notação matemática em XML. É suportado por todos os navegadores modernos e é essencial para publicações científicas na web. Depois tem a Chemical Markup Language (CML) para estruturas moleculares, Astronomical Markup Language para dados estelares e dezenas de outros vocabulários XML científicos. Quando precisão e representação inequívoca de dados importam — e em ciência, sempre importam — XML entrega.

Governo e Compras: Universal Business Language (UBL) é um padrão OASIS usado por governos do mundo todo para compras, faturamento e gestão de cadeia de suprimentos. A diretiva de faturamento eletrônico da União Europeia essencialmente exige XML baseado em UBL para faturamento empresa-governo. Se você vende para governos europeus, está enviando faturas XML.

Aviação: O Aeronautical Information Exchange Model (AIXM) define schemas XML para dados aeronáuticos — aeroportos, espaços aéreos, auxílios de navegação, procedimentos. Todo sistema de gerenciamento de voo, toda atualização de controle de tráfego aéreo, todo NOTAM (Notice to Airmen) toca dados AIXM. Este é um domínio onde "vamos simplesmente mudar para JSON" não é uma conversa que ninguém está tendo, porque as implicações de segurança de uma migração de formato seriam enormes.

O fio condutor em todas essas indústrias? Escolheram XML porque precisavam de validação forte, namespaces para combinar vocabulários e um formato que pudesse evoluir ao longo de décadas sem quebrar a compatibilidade retroativa. Esses requisitos não mudaram.

SOAP vs REST: Por Que APIs XML Ainda Existem

Se você começou sua carreira na última década, pode pensar que todas as APIs são REST com JSON. Mas entre em qualquer grande banco, seguradora, empresa de telecomunicações ou agência governamental, e você encontrará serviços web SOAP processando lógica de negócio crítica. E existem boas razões para isso.

SOAP (Simple Object Access Protocol) é um protocolo de mensagens baseado em XML com alguns recursos que REST+JSON simplesmente não oferece de fábrica:

Contratos fortes via WSDL: Um arquivo WSDL (Web Services Description Language) descreve *tudo* sobre um serviço SOAP — operações, estruturas de mensagens de entrada/saída, tipos de dados, endpoints. Você pode gerar automaticamente código cliente a partir de um WSDL em Java, C#, Python ou praticamente qualquer linguagem empresarial. APIs REST têm OpenAPI/Swagger, mas a adoção é voluntária. Com SOAP, o contrato é o serviço.

Tratamento de erros integrado: SOAP tem um elemento fault padronizado com códigos de erro, strings de erro e elementos de detalhe. Todo cliente SOAP sabe exatamente como fazer o parsing de erros. APIs REST? Cada API inventa seu próprio formato de erro.

WS-Security: SOAP tem um padrão de segurança abrangente que suporta criptografia e assinatura no nível da mensagem — não apenas no nível de transporte (TLS). Isso significa que uma mensagem SOAP pode passar por servidores intermediários enquanto permanece criptografada de ponta a ponta. Isso importa muito em serviços financeiros onde mensagens são roteadas por múltiplos sistemas.

Transações e confiabilidade: WS-AtomicTransaction e WS-ReliableMessaging fornecem suporte a transações distribuídas e entrega garantida. São problemas difíceis que REST deixa inteiramente para o desenvolvedor da aplicação.

Dito isso, SOAP tem desvantagens reais: as mensagens são verbosas, a curva de aprendizado é íngreme, depurar é doloroso, e a sobrecarga do XML o torna mais lento que JSON para operações CRUD simples. Para novas APIs web e microsserviços, REST+JSON é quase sempre a escolha certa. Mas para integrações empresariais complexas — especialmente em indústrias reguladas — a aplicação de contratos e os recursos de segurança integrados do SOAP continuam genuinamente valiosos.

Migrando de XML para JSON: Um Guia Prático

Em algum momento da sua carreira, alguém vai pedir para você migrar um sistema baseado em XML para JSON. Antes de dizer "claro, fácil", deixe-me mostrar as armadilhas que surpreendem todo mundo.

Perda de atributos: Elementos XML podem ter tanto atributos quanto elementos filhos. Objetos JSON só têm propriedades. Ao converter Dune, para onde vai id? Para onde vai format? Para onde vai o conteúdo de texto? Convenções comuns usam prefixos @ para atributos e #text para conteúdo de texto, mas não existe padrão universal — e qualquer que seja sua escolha, o outro sistema precisa entender sua convenção.

Coerção de tipos: XML é inerentemente baseado em texto. A string "42" em XML pode ser um inteiro, um float, uma string ou um CEP. JSON tem tipos distintos. Durante a migração, você precisa de regras explícitas de mapeamento de tipos, ou vai acabar com strings onde queria números (ou pior, números onde queria strings — adeus zeros à esquerda em CEPs).

Ambiguidade de arrays: Essa é particularmente traiçoeira. Em XML, se um elemento tem um filho, é um elemento único. Se tem múltiplos filhos com o mesmo nome, são naturalmente uma coleção. Mas JSON precisa saber antecipadamente se algo é um array ou um valor único. Considere: Widgetitem é uma string ou um array de um elemento? Se outro pedido tem três itens, a estrutura muda. Seu consumidor JSON precisa lidar com ambos os casos.

Passos para uma migração bem-sucedida:

  • Passo 1: Faça um inventário de todos os schemas XML e documente exatamente quais recursos você está usando (namespaces, atributos, conteúdo misto, seções CDATA, instruções de processamento).
  • Passo 2: Projete seu schema JSON primeiro, decidindo explicitamente como lidar com atributos, conteúdo misto e arrays. Documente cada decisão.
  • Passo 3: Construa uma camada de conversão (não uma reescrita completa). Execute ambos os formatos em paralelo e compare as saídas.
  • Passo 4: Migre os consumidores um de cada vez, mantendo os endpoints XML ativos até que todos tenham migrado.
  • Passo 5: Mantenha sistemas paralelos por pelo menos um ciclo de negócios completo (mês, trimestre ou ano, dependendo do seu domínio) antes de aposentar o XML.

Quando NÃO migrar: Se seu XML usa muita mistura de namespaces, transformações XSLT ou regras de negócio baseadas em XPath, o custo da migração pode superar os benefícios. Além disso, se seu XML é exigido por um padrão regulatório (HL7, ISO 20022, UBL), você vai manter XML de qualquer forma — adicionar JSON apenas adiciona um segundo formato para suportar.

Ferramentas XML Que Todo Desenvolvedor Deveria Conhecer

Trabalhar com XML não precisa ser doloroso se você tem as ferramentas certas. Aqui estão as que eu uso:

xmllint: Vem com o libxml2 e provavelmente já está no seu sistema. Valida XML contra schemas, formata (pretty-print) XML e avalia expressões XPath — tudo pela linha de comando. É o curl do mundo XML: simples, rápido e está em todo lugar.

Saxon: O padrão ouro para processamento XSLT e XQuery, desenvolvido por Michael Kay (que literalmente editou as especificações XSLT 2.0 e 3.0). Se você está fazendo transformações XSLT sérias, Saxon é o que você quer. A edição Home open-source lida com XSLT 3.0 e XPath 3.1.

XMLSpy (Altova): Uma IDE XML comercial popular em empresas. Tem editores visuais de schema, depuradores XSLT e integração com banco de dados. É cara mas poderosa — particularmente útil quando você está trabalhando com schemas XSD massivos que são impraticáveis de editar à mão.

oXygen XML Editor: Meu favorito pessoal para trabalho pesado com XML. Suporta depuração XSLT com execução passo a passo, avaliação XPath, edição com schema-aware com auto-completar, e tem excelente suporte para DITA e DocBook. Se você escreve XSLT regularmente, oXygen se paga em uma semana.

xmlstarlet: Um toolkit XML de linha de comando que permite consultar, editar, validar e transformar XML direto do terminal. Pense nele como sed e awk mas para XML. É perfeito para scripts shell e pipelines CI/CD onde você precisa extrair valores de arquivos de configuração XML ou modificar XML rapidamente.

Visual Studio Code com extensões XML: Se você já está no VS Code, a extensão "XML" da Red Hat oferece validação de schema, auto-completar e formatação. Combinada com a extensão "XSLT/XPath", é um setup gratuito surpreendentemente capaz para trabalho ocasional com XML.

Experimente Você Mesmo

Precisa conectar os dois mundos? Nosso Conversor XML para JSON cuida da transformação preservando a estrutura de dados e os tipos. Se você está depurando XML, o XML Formatter torna legível até o XML mais feio. E antes de implantar qualquer XML em produção, passe-o pelo XML Validator para detectar problemas estruturais cedo.