.NET 8 重大变更:BinaryFormatter 在大多数项目类型中被禁用

于 2025-06-10 09:05:57 发布
阅读量373 收藏 9
点赞数 5
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00131/article/details/148550054

.NET 8 重大变更:BinaryFormatter 在大多数项目类型中被禁用

docs This repository contains .NET Documentation. docs 项目地址: https://gitcode.com/gh_mirrors/docs2/docs

引言

在 .NET 8 中,微软继续推进其安全改进计划,对 BinaryFormatter 进行了更严格的限制。本文将详细介绍这一变更的背景、影响范围以及开发者应采取的应对措施。

BinaryFormatter 简介

BinaryFormatter 是 .NET 中一个历史悠久的二进制序列化工具,它可以将对象图转换为二进制格式,并能够完整地重建原始对象。然而,这种强大的功能也带来了严重的安全隐患:

  1. 类型安全风险:反序列化时可以实例化任意类型
  2. 数据篡改风险:二进制数据容易被修改
  3. 版本兼容性问题:类型结构变更后难以处理

变更内容

旧行为(.NET 7 及之前)

在 .NET 7 中:

  • BinaryFormatter.Serialize()BinaryFormatter.Deserialize() 方法被标记为过时
  • 编译时会显示错误警告
  • 如果开发者抑制了过时警告,这些方法仍可在大多数项目类型中正常工作(ASP.NET、WASM 和 MAUI 除外)

新行为(.NET 8)

在 .NET 8 中:

  • 除 Windows Forms 和 WPF 外,所有项目类型调用这些方法都会抛出 NotSupportedException
  • 所有项目类型(包括 Windows Forms 和 WPF)中这些 API 仍保持过时(作为错误)状态

变更原因

这一变更是微软逐步淘汰 BinaryFormatter 计划的一部分。微软官方明确指出,由于 BinaryFormatter 存在严重的安全隐患和可靠性问题,最终将从 .NET 中完全移除。

影响范围

受影响的 API:

  • BinaryFormatter.Serialize(Stream, Object)
  • BinaryFormatter.Deserialize(Stream)

影响的项目类型:

  • 控制台应用程序
  • 类库
  • ASP.NET Core 应用
  • MAUI 应用
  • WASM 应用
  • 其他大多数项目类型

例外情况:

  • Windows Forms 应用
  • WPF 应用

应对策略

推荐方案:迁移到替代方案

微软强烈建议开发者迁移到更安全的序列化方案,包括但不限于:

  1. System.Text.Json:高性能、低内存占用的 JSON 序列化器
  2. XmlSerializer:基于 XML 的序列化方案
  3. Protocol Buffers:Google 开发的高效二进制序列化格式
  4. MessagePack:快速紧凑的二进制序列化格式

这些替代方案都提供了更好的安全控制和性能特性。

临时解决方案:启用兼容性开关

如果必须继续使用 BinaryFormatter,可以通过修改项目文件添加兼容性开关:

<PropertyGroup>
  <EnableUnsafeBinaryFormatterSerialization>true</EnableUnsafeBinaryFormatterSerialization>
</PropertyGroup>

但需要注意:

  1. 这只是一个临时解决方案
  2. 未来版本可能会完全移除该开关
  3. 仍需承担使用 BinaryFormatter 的安全风险

迁移建议

步骤一:识别使用场景

检查代码库中 BinaryFormatter 的使用场景,包括:

  • 持久化存储
  • 进程间通信
  • 网络传输
  • 缓存机制

步骤二:评估替代方案

根据使用场景选择合适的替代方案:

  • 配置存储:System.Text.Json
  • 高性能通信:Protocol Buffers
  • 兼容性要求:XmlSerializer

步骤三:逐步替换

建议采用渐进式替换策略:

  1. 在新代码中使用替代方案
  2. 逐步重构旧代码
  3. 实现双向兼容(如需要)

结论

.NET 8 对 BinaryFormatter 的限制是微软加强 .NET 平台安全性的重要举措。作为开发者,我们应该积极响应这一变更,评估现有代码库,并制定合理的迁移计划。虽然短期内可能需要投入一些重构工作,但从长远来看,采用更现代的序列化方案将带来更好的安全性、性能和可维护性。

docs This repository contains .NET Documentation. docs 项目地址: https://gitcode.com/gh_mirrors/docs2/docs

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

二进制序列化器、XML序列化器、Json序列化器
baidu_33146219的博客
07-24 1万+
介绍二进制序列化器、XML序列化器、Json序列化器,其中Json序列化器分别介绍了.Net 标准库 `System.Text.Json`、`System.Runtime.Serialization.Json` 和 Newtonsoft 库`Newtonsoft.Json`
C#完整的通信代码(点对点,点对多,同步,异步,UDP,TCP),多多宜善。
Phoxe_bai的专栏
09-10 2355
C# code namespace UDPServer { class Program { staticvoid Main(string[] args) { int recv; byte[] data =newbyte[1024]; //构建TCP 服务器 //得到本机IP,设置TCP端口号 IPE
.NET Core 3.1 升级到 .NET 8
寒冰屋的专栏
12-13 1104
.NET Core 3.1 已经用了很长一段时间,其实在 2022 年的年底微软已经不提供支持了,后面的一个 LTS 版本 .NET 6 也会在 2024 年 11 月终止支持,所以直接升级到 .NET 8 是最好的选择。
.net反序列化萌新入门--BinaryFormatter
qq_53058639的博客
11-20 253
BinaryFormatter反序列化还有许多攻击链,但大多都是在TextFormattingRunProperties链的基础上进行相应的封装。而TextFormattingRunProperties则是封装的XamlReader.Parse(),借助ObjectDataProvider的Xamlpayload可以实现代码执行。也就是说,我们在使用BinaryFormatter反序列化TextFormattingRunProperties封装的数据时,最终会落到XamlReader进行反序列化。
C# .Net 5 中 Serialize 已过时 BinaryFormatter.Serialize(Stream, object)”已过时
kuyz1的专栏
06-20 1519
【代码】C# .Net 5 中 Serialize 已过时 BinaryFormatter.Serialize(Stream, object)”已过时
.NET 9 - BinaryFormatter移除
limingdinghao的博客
11-15 1257
NET 9 SDK正式版已经发布, 下载地址是.NET9同时.NET Conf 2024 大会已经从2024-11-13开始了,感觉Aspire和AI的内容相对挺多的,主题分享演示时候打开的网站大部分都是Blazor制作的。这次.NET Conf 2024老师也再次说明了一下,note, BinaryFormatter 存在remote code execution的安全问题BinaryFormatter.NET8开始,已经被标记为Obsolete。
【插件增强】:4个必装dnSpy插件,提升反编译能力与效率
通过分析每类插件的功能和作用,揭示了dnSpy作为一个强大的.NET逆向工程工具在提升用户体验、代码分析与调试效率、安全审计以及个性化功能扩展方面的关键角色。文中不仅提供了对dnSpy现有插件的详尽解析,还指引读者...
BinaryFormatter序列化实例(四)
Colin的专栏
12-21 6360
将Voucher[] vouchers进行序列化时,可以看到Assembly和Type的信息只生成了一次,但是如果在vouchers中包含派生自Voucher的类的实例,也就是说vouchers是一个多态数组的时候,又是什么情况呢。如果BinnaryFormatter保存的是静态类型,那么反序列化时就不能完整恢复对象了。另一方面,因为BinaryFormatter.Serialize方法的参数是o
为什么.NET 9.0 强烈建议不要使用 BinaryFormatter,并且移除了相关支持
dotnet研习社
08-20 3027
.NET 框架中的一个序列化工具,它能够将对象及其状态转换为二进制流。这些二进制数据可以被存储到文件中、通过网络传输,或者在应用程序的不同部分之间传递。序列化:将对象转换为二进制格式的过程。这个过程遍历对象的成员,并将其数据转换为字节流。反序列化:将二进制数据恢复为原始对象的过程。反序列化通过读取二进制流,恢复对象的状态。set;set;// 序列化// 反序列化Nameget;set;get;set;
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞
ahhacker86的专栏
12-14 1409
但是使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。可对远程方法响应提供的Stream流进行反序列化,这个方法需要传入三个必选参数,第二和第三个参数都可为。由于上一篇中已经介绍了漏洞的原理,所以本篇就不再冗余的叙述,没有看的朋友请参考《能更好的支持泛型等数据,而在反序列化二进制文件时要注意数据本身的安全性,两个类之间的区别在于数据流的格式不同,其他的功能上两者差不多,B。我们得到系统提供的四个不同的反序列方法,
.NET Core 技术解析:BinaryFormatter 序列化方法已过时并在 ASP.NET 应用中禁用
gitblog_00316的博客
06-10 335
.NET Core 技术解析:BinaryFormatter 序列化方法已过时并在 ASP.NET 应用中禁用 docs This repository contains .NET Documentation. 项目地址: htt...
C#序列化和反序列化
lilongherolilong的专栏
08-17 2743
C#序列化和反序列化 系列化是将对象写入流的过程,而反序列化是从流中读取对象的过程。在类上使用[Serializable]属性标注为可序列化,用[NoSerializable]标注某变量不可被序列化。 有时候在程序中徐希望将一个变量序列化,却希望在反序列化的时候可以得到这
.net BinaryFormatter序列化对象慢的原因
weixin_33807284的博客
05-06 419
    最近在做组件对象写入流的优化,因此对一些.net下序列化组件做了一些测试,分别针对ProtoBuf.net.net自带的BinaryFormatter进行了分析.从测试的结果来看BinaryFormatter的性能和ProtoBuf.net的性能足足相差了10倍。为什么差这么远呢,如果紧紧从运行时间来看可能以为BinaryFormatter一定是使用反射什么的,所以导致结果这么慢。为了...
BinaryFormatter反序列化漏洞
UKK
06-20 2803
BinaryFormatter反序列化漏洞 http://www.ifind.cc/view/230
互联网+时代下中小企业财务管理存在的问题及其发展对策(1).docx
06-22
互联网+时代下中小企业财务管理存在的问题及其发展对策(1).docx
学前教育的信息化建设与应用现状研究(1).docx
06-22
学前教育的信息化建设与应用现状研究(1).docx
人工智能健康管理服务合同模版(标准版)(1).docx
最新发布
06-22
人工智能健康管理服务合同模版(标准版)(1).docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

余伊日Estra

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值