为什么.NET 9.0 强烈建议不要使用 BinaryFormatter,并且移除了相关支持

最新推荐文章于 2024-09-10 08:00:34 发布
最新推荐文章于 2024-09-10 08:00:34 发布
阅读量1.3k 收藏 27
点赞数 24
分类专栏: C#开发基础 文章标签: .net 服务器 开发语言 c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houbincarson/article/details/141332704
版权

在这里插入图片描述

1. 引言

在 .NET 的早期版本中,BinaryFormatter 是一个广泛使用的工具,用于将对象序列化为二进制格式,以便在网络上传输或持久化存储。然而,随着 .NET 框架的发展和安全性需求的提升,BinaryFormatter 的一些固有问题逐渐显现,最终导致在 .NET 9.0 中被彻底移除。那么,BinaryFormatter 是什么?为什么它会被移除?我们又该如何应对?本文将深入探讨这些问题,并提供一些替代方案。
在这里插入图片描述

2. 什么是 BinaryFormatter?

BinaryFormatter 是 .NET 框架中的一个序列化工具,它能够将对象及其状态转换为二进制流。这些二进制数据可以被存储到文件中、通过网络传输,或者在应用程序的不同部分之间传递。其基本工作原理如下:

  1. 序列化:将对象转换为二进制格式的过程。这个过程遍历对象的成员,并将其数据转换为字节流。
  2. 反序列化:将二进制数据恢复为原始对象的过程。反序列化通过读取二进制流,恢复对象的状态。

BinaryFormatter 的使用相对简单,示例如下:

using System;
using System.IO;
using System.Runtime.Serialization.Formatters.Binary;

[Serializable]
public class Person
{
    public string Name { get; set; }
    public int Age { get; set; }
}

class Program
{
    static void Main()
    {
        var person = new Person { Name = "John", Age = 30 };

        // 序列化
        var formatter = new BinaryFormatter();
        using (var stream = new FileStream("person.dat", FileMode.Create, FileAccess.Write))
        {
            formatter.Serialize(stream, person);
        }

        // 反序列化
        using (var stream = new FileStream("person.dat", FileMode.Open, FileAccess.Read))
        {
            var deserializedPerson = (Person)formatter.Deserialize(stream);
            Console.WriteLine($"Name: {deserializedPerson.Name}, Age: {deserializedPerson.Age}");
        }
    }
}

在这个例子中,BinaryFormatterPerson 对象序列化为二进制格式,并将其保存到文件中。随后,它通过反序列化从二进制文件中恢复对象。

3. 为什么移除了 BinaryFormatter 的支持?

官方给出的解释是,存在相关的安全风险,那么到底是哪些风险呢?
在这里插入图片描述

BinaryFormatter 的移除主要出于以下几个原因:

  1. 安全性问题BinaryFormatter 的反序列化功能存在安全漏洞,容易受到反序列化攻击。这些攻击可能导致远程代码执行,使应用程序暴露在风险之中。

  2. 跨平台兼容性差BinaryFormatter 的二进制格式在不同平台之间的兼容性不佳,这与 .NET 的跨平台战略相冲突。

  3. 维护成本高:随着时间的推移,维护 BinaryFormatter 的安全性和稳定性变得越来越困难。移除它可以减少框架的维护负担。为了修复 BinaryFormatter 的安全漏洞,需要持续的维护工作,这对于一个已经不再积极发展的 API 来说是一种负担。

  4. 性能问题: BinaryFormatter 的性能并不总是最优的。它的序列化和反序列化过程较为复杂,导致性能不如其他现代序列化技术。

  5. 现代化替代方案:随着 .NET 的发展,出现了许多更安全、更高效的序列化工具,提供了更好的性能和功能。如 JSON.NET、System.Text.Json 和 MessagePack,它们提供了更好的性能和更高的安全性。

4. 替代方案

随着 BinaryFormatter 的移除,可以选择以下替代方案来进行序列化和反序列化:

4.1. System.Text.Json

System.Text.Json 是 .NET Core 3.0 引入的一个高性能、轻量级的 JSON 序列化器,它支持 JSON 文档、JSON 数组和 JSON 对象的解析和序列化,并且具有很好的性能。适用于大多数场景。它提供了快速、高效、跨平台的序列化和反序列化功能。

适用场景:
  • 适合大多数需要 JSON 序列化的应用程序,尤其是 Web API 和配置文件处理。
优点
  • 安全性高,避免了反序列化攻击的风险。
  • 高性能,针对现代硬件进行了优化。
  • 内置支持,开箱即用。
缺点:
  • 对复杂对象图的支持有限,不支持循环引用。
示例代码
using System;
using System.Text.Json;

public class Person
{
    public string Name { get; set; }
    public int Age { get; set; }
}

class Program
{
    static void Main()
    {
        var person = new Person { Name = "John", Age = 30 };

        // 序列化
        string json = JsonSerializer.Serialize(person);
        Console.WriteLine($"Serialized JSON: {json}");

        // 反序列化
        var deserializedPerson = JsonSerializer.Deserialize<Person>(json);
        Console.WriteLine($"Name: {deserializedPerson.Name}, Age: {deserializedPerson.Age}");
    }
}

4.2. XmlSerializer

XmlSerializer 是处理 XML 序列化的主要工具,适合需要与 XML 数据格式兼容的场景。

适用场景:
  • 适用于需要与 XML 数据格式兼容的系统,如跨平台数据交换或与遗留系统集成。
优点
  • 适合与其他使用 XML 的系统集成。
  • 可读性强,便于调试。
缺点:
  • 序列化复杂对象较慢,不支持私有成员的序列化。
示例代码
using System;
using System.IO;
using System.Xml.Serialization;

public class Person
{
    public string Name { get; set; }
    public int Age { get; set; }
}

class Program
{
    static void Main()
    {
        var person = new Person { Name = "John", Age = 30 };

        // 序列化
        var serializer = new XmlSerializer(typeof(Person));
        using (var stream = new StringWriter())
        {
            serializer.Serialize(stream, person);
            string xml = stream.ToString();
            Console.WriteLine($"Serialized XML: {xml}");

            // 反序列化
            using (var reader = new StringReader(xml))
            {
                var deserializedPerson = (Person)serializer.Deserialize(reader);
                Console.WriteLine($"Name: {deserializedPerson.Name}, Age: {deserializedPerson.Age}");
            }
        }
    }
}

4.3. DataContractSerializer

DataContractSerializer 是一个强大的序列化工具,适合处理复杂对象图。它支持 XML 和二进制格式。

适用场景:
  • 适合处理复杂对象图,尤其是在 WCF 服务中使用。
优点
  • 支持复杂类型的序列化。
  • 可与 WCF 等技术集成。
缺点:
  • XML 格式较大,性能不如二进制格式。
示例代码
using System;
using System.IO;
using System.Runtime.Serialization;

[DataContract]
public class Person
{
    [DataMember]
    public string Name { get; set; }
    [DataMember]
    public int Age { get; set; }
}

class Program
{
    static void Main()
    {
        var person = new Person { Name = "John", Age = 30 };

        // 序列化
        var serializer = new DataContractSerializer(typeof(Person));
        using (var stream = new MemoryStream())
        {
            serializer.WriteObject(stream, person);
            stream.Position = 0;

            using (var reader = new StreamReader(stream))
            {
                string xml = reader.ReadToEnd();
                Console.WriteLine($"Serialized Data: {xml}");
            }

            // 反序列化
            stream.Position = 0;
            var deserializedPerson = (Person)serializer.ReadObject(stream);
            Console.WriteLine($"Name: {deserializedPerson.Name}, Age: {deserializedPerson.Age}");
        }
    }
}

4.4. Protocol Buffers(protobuf-net)

Protocol Buffers 是一种高效的二进制序列化方案,特别适合跨平台和大规模数据的处理。

适用场景:
  • 适合需要高效二进制格式的跨平台和大规模数据处理,常用于微服务通信和移动开发。
优点
  • 高效的二进制格式,适合大规模数据处理。
  • 支持多种语言和平台。
缺点:
  • 需要定义 .proto 文件,学习曲线较高。
示例代码
using System;
using System.IO;
using ProtoBuf;

[ProtoContract]
public class Person
{
    [ProtoMember(1)]
    public string Name { get; set; }
    [ProtoMember(2)]
    public int Age { get; set; }
}

class Program
{
    static void Main()
    {
        var person = new Person { Name = "John", Age = 30 };

        // 序列化
        using (var stream = new MemoryStream())
        {
            Serializer.Serialize(stream, person);
            byte[] data = stream.ToArray();
            Console.WriteLine($"Serialized Data: {BitConverter.ToString(data)}");

            // 反序列化
            using (var memoryStream = new MemoryStream(data))
            {
                var deserializedPerson = Serializer.Deserialize<Person>(memoryStream);
                Console.WriteLine($"Name: {deserializedPerson.Name}, Age: {deserializedPerson.Age}");
            }
        }
    }
}

4.5. MessagePack

MessagePack 是一种高效的二进制序列化格式,提供比 JSON 更高的性能,并且支持强类型对象的序列化和反序列化。MessagePack 支持多种数据类型,并且可以轻松集成到 .NET 应用程序中。

适用场景:
  • 适用于对性能要求较高的应用,如游戏开发、文件存储、分布式系统。
优点
  • 高效的二进制格式,文件体积小,性能高。
  • 支持复杂的对象图序列化。
  • 序列化结果兼容不同语言和平台。
缺点:
  • 对调试不太友好,序列化结果不易阅读。
示例代码
using System;
using MessagePack;

[MessagePackObject]
public class Person
{
    [Key(0)]
    public string Name { get; set; }
    [Key(1)]
    public int Age { get; set; }
}

class Program
{
    static void Main()
    {
        var person = new Person { Name = "John", Age = 30 };
        // 序列化
        byte[] data = MessagePackSerializer.Serialize(person);
        Console.WriteLine($"Serialized Data: {BitConverter.ToString(data)}");
        // 反序列化
        var deserializedPerson = MessagePackSerializer.Deserialize<Person>(data);
        Console.WriteLine($"Name: {deserializedPerson.Name}, Age: {deserializedPerson.Age}");
    }
}

5. 总结

BinaryFormatter 在 .NET 中的移除标志着一个时代的结束,同时也开启了更安全、更高效的序列化替代方案的新时代。无论是处理 JSON、XML、二进制数据,还是需要跨平台的兼容性,都可以在 .NET 中找到合适的工具来满足你的需求。选择合适的序列化方案,不仅可以提升应用程序的安全性和性能,还能更好地与现代开发实践接轨。

6.参考链接

dotnet研习社
关注
专栏目录
pythonnet .net netcore BinaryFormatter 巨坑
qianting1的专栏
11-10 228
逆向.net程序,碰到了BinaryFormatter ,这个类对对象序列化是C#自身特有的逻辑的,python很难还原BinaryFormatter的序列化逻辑,除非对BinaryFormatter底层逻辑非常了解。通过BinaryFormatter的Binder回调,在覆盖方法BindToName中将netcore的CoreLib改成mscorlib即可,碰到其他类型不兼容的场景,也可以使用这个方法解决。
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞1
08-03
.NET框架中的反序列化漏洞是安全领域的一个重要话题,尤其是涉及到BinaryFormatter时,因为它经常被用于数据持久化和跨进程通信。在这个高级代码审计课程中,我们关注的是BinaryFormatter反序列化过程中的潜在攻击...
C# .Net 5 中 Serialize 已过时 BinaryFormatter.Serialize(Stream, object)”已过时
kuyz1的专栏
06-20 1295
【代码】C# .Net 5 中 Serialize 已过时 BinaryFormatter.Serialize(Stream, object)”已过时。
.NET 9 开始,运行时将不再提供 BinaryFormatter
最新发布
farway000的博客
09-10 167
.NET 9 开始,我们不再在运行时中包含BinaryFormatter的实现(.NET Framework 保持不变)。API 仍然存在,但无论项目类型是什么,它们的实现始终会抛出异常。因此,设置现有的向下兼容性标志已不足以使用 BinaryFormatter。在这篇博文中,我将解释为什么做出这一更改以及您可以采取哪些选项。TL;DR:我该怎么办?您有两个应对 BinaryFormatt...
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞
ahhacker86的专栏
12-14 1229
但是使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。可对远程方法响应提供的Stream流进行反序列化,这个方法需要传入三个必选参数,第二和第三个参数都可为。由于上一篇中已经介绍了漏洞的原理,所以本篇就不再冗余的叙述,没有看的朋友请参考《能更好的支持泛型等数据,而在反序列化二进制文件时要注意数据本身的安全性,两个类之间的区别在于数据流的格式不同,其他的功能上两者差不多,B。我们得到系统提供的四个不同的反序列方法,
.NET 9 首个预览版发布:瞄准云原生和智能应用开发
专注于C#/.NET/.NET Core学习、工作、面试干货和实战教程分享。这里聚焦了大量的C#/.NET/.NET Core优质文章、开源项目、实用工具和学习、工作、面试心得。
02-20 824
前不久.NET团队发布了.NET 9 的首个预览版,并且分享.NET团队对 .NET 9 的初步愿景,该愿景将于今年年底在 .NET Conf 2024 上发布。云原生和智能应用开发
.net BinaryFormatter序列化对象慢的原因
weixin_33807284的博客
05-06 383
    最近在做组件对象写入流的优化,因此对一些.net下序列化组件做了一些测试,分别针对ProtoBuf.net.net自带的BinaryFormatter进行了分析.从测试的结果来看BinaryFormatter的性能和ProtoBuf.net的性能足足相差了10倍。为什么差这么远呢,如果紧紧从运行时间来看可能以为BinaryFormatter一定是使用反射什么的,所以导致结果这么慢。为了...
BinaryFormatter反序列化漏洞
UKK
06-20 2757
BinaryFormatter反序列化漏洞 http://www.ifind.cc/view/230
.Net反序列化漏洞之BinaryFormatter
weixin_33978016的博客
11-28 555
https://googleprojectzero.blogspot.com.es/2017/04/exploiting-net-managed-dcom.html .Net反序列化导致RCE的样例,有两点限制: BinaryFormatter::Deserialize反序列化的内容用户可控 .Net SDK大于等于4.5 using System; using System.Collecti...
.NET高级代码审计:BinaryFormatter反序列化漏洞详解
".NET高级代码审计(第九课) BinaryFormatter反序列化漏洞1" 本文主要探讨的是.NET框架中的BinaryFormatter反序列化漏洞,这是一种可能导致远程代码执行(RCE)的安全风险。BinaryFormatter是一个用于对象序列化和...
.net Reflector 9.0附注册机
05-07
.NET Reflector是一个.NET工具。.NET开发人员用它来反编译和观察内在内容,了解应用程序接口(API)、组件、框架以及所使用的所有关键代码是如何工作的。此外,还可以通过自身的代码、第三方组件和所使用的任何编译的.NET代码跟踪漏洞。可在Visual Studio中查看第三方代码,就像浏览自己的代码一样。全面支持.NET 2.0、.NET 3.0、.NET 3.5和.NET 4.0-4.6 Windows Shell集成–运行Reflector.exe /寄存器,注册文件扩展名 NET 2.0、.NET 3.0、.NET 3.5、.NET 4.0、Compact Framework 2.0、Compact Framework 3.5、XNA框架、银光(Silverlight)、Mono以及托管代码Direct X的程序集列表 点击源代码的导航 找出公开的或实例化的类型 扩展方法 Linq查询表达式支持 Lambda表达式支持 匿名方法和可空类型支持 扩展方法支持 上下文相关的文档视图 找出虚拟方法重写 代码URL支持——在浏览器中导航至代码:/ / mscor lib / system.object 挖掘程序集中的资源
.NET Reflector 9.0
07-31
含有注册软件,英文非汉化
BinaryFormatter
10-19
.NET Framework 类库 BinaryFormatter 类 以二进制格式将对象或整个连接对象图形序列化和反序列化。 命名空间:System.Runtime.Serialization.Formatters.Binary 程序集:mscorlib(在 mscorlib.dll 中)
二进制BinaryFormatter进行序列化与反序列化
12-07
.NET框架提供了两种种串行化的方式:1、是使用BinaryFormatter进行串行化;2、使用XmlSerializer进行串行化。第一种方式提供了一个简单的二进制数据流以及某些附加的类型信息,而第二种将数据流格式化为XML存储。 可以使用[Serializable]属性将类标志为可序列化的。如果某个类的元素不想被序列化,1、可以使用[NonSerialized]属性来标志,2、可以使用[XmlIgnore]来标志。
.NET Core中使用Redis与Memcached的序列化问题详析
10-18
.NET Core在开发过程中,使用Redis和Memcached作为分布式缓存时,序列化是必不可少的一环。这是因为缓存系统通常接收和存储的是二进制数据,而不是直接的对象实例。本文将探讨如何在.NET Core环境中处理Redis与...
使用序列化保留TreeView控件(VB.NET
04-11
.NET框架中,序列化是一种将对象的状态转换为字节流的过程,以便可以存储或在网络上传输。在VB.NET中,我们可以使用此功能来保留TreeView控件的层次结构,即使在应用程序关闭后也能恢复用户的视图。这尤其适用于...
使用BinaryFormatter类序列化
weixin_34007906的博客
06-22 335
(一)  有时候需要将C#中某一个结构很复杂的类的对象存储起来,或者通过网路传输到远程的客户端程序中去, 这时候用文件方式或者数据库方式存储或者传送就比较麻烦了,这个时候,最好的办法就是使用串行和解串(Serialization &amp; Deserialization). .NET中串行有三种,BinaryFormatter, SoapFormatter和XmlSerializer.  ...
Serialization之BinaryFormatter
diaoyu3131的博客
09-18 345
前言 BinaryFormatter序列化二进制序列化使用二进制编码来生成精简的序列化,以用于存储或基于套接字的网络流等。 内容 下面通过一个小小的例子来给大家说明什么是BinaryFormatter以及它的原理。 需求:一个贷款的小例子,随着时间或者其他因素的影响,我们的贷款利率也会随之进行相应的调整,在后台没有数据库作为的数据存储辅助的情况...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dotnet研习社

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值