.NET 9 重大变更:BinaryFormatter 核心实现被移除并始终抛出异常

于 2025-06-10 09:05:59 发布
阅读量311 收藏 6
点赞数 4
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00173/article/details/148550064

.NET 9 重大变更:BinaryFormatter 核心实现被移除并始终抛出异常

docs This repository contains .NET Documentation. docs 项目地址: https://gitcode.com/gh_mirrors/docs2/docs

背景介绍

在 .NET 生态系统中,BinaryFormatter 长期以来一直是开发者进行二进制序列化的主要工具之一。然而,随着安全意识的提升和技术的发展,微软决定在 .NET 9 中彻底移除其核心实现。这一决定并非突然,而是经过多个版本逐步淘汰计划的结果。

变更内容

从 .NET 9 Preview 6 开始,System.Runtime.Serialization.Formatters.Binary.BinaryFormatter 的核心实现已被完全移除。现在,任何尝试创建 BinaryFormatter 实例或使用其序列化/反序列化方法的操作都会抛出异常。

变更前后对比

旧行为

  • 可以创建 BinaryFormatter 实例
  • 能够正常进行对象的序列化和反序列化操作
  • 虽然从 .NET 5 开始已被标记为过时,但仍可通过配置启用

新行为

  • 尝试创建 BinaryFormatter 实例会立即抛出异常
  • 所有序列化/反序列化操作都会失败
  • 之前用于启用 BinaryFormatter 的配置选项已被移除

变更原因

这一变更主要基于以下安全考虑:

  1. 安全问题BinaryFormatter 的设计存在根本性安全缺陷,容易成为攻击媒介
  2. 不可控风险:它允许执行任意代码,无法通过简单修补解决安全问题
  3. 现代替代方案:已有更安全、更高效的序列化方案可供选择

影响范围

这一变更会影响所有使用 BinaryFormatter 的 .NET 9 应用程序,特别是:

  • 使用二进制序列化保存应用状态的程序
  • 依赖 BinaryFormatter 进行进程间通信的系统
  • 需要持久化复杂对象图的遗留代码

迁移建议

1. 评估替代方案

根据你的具体需求,可以考虑以下替代方案:

  • JSONSystem.Text.JsonNewtonsoft.Json 用于简单数据结构
  • XMLSystem.Xml.Serialization 用于需要人类可读格式的场景
  • Protocol Buffers:Google 的高效二进制格式,适合性能敏感场景
  • MessagePack:另一种高效的二进制序列化格式

2. 迁移步骤

  1. 代码审计:查找项目中所有使用 BinaryFormatter 的地方
  2. 数据兼容性:评估现有序列化数据的迁移路径
  3. 逐步替换:按模块或功能逐步替换序列化方案
  4. 测试验证:确保新方案在所有边界条件下表现正常

3. 特殊情况处理

如果确实需要继续使用 BinaryFormatter(例如维护遗留系统),可以通过以下方式:

  1. 使用第三方提供的 BinaryFormatter 实现包
  2. 明确了解并接受相关安全风险
  3. 实施额外的安全措施来缓解潜在威胁

技术细节

被移除的核心功能包括:

  • BinaryFormatter 类的所有公共构造函数
  • SerializeDeserialize 方法
  • 所有相关的配置开关和兼容性设置

总结

BinaryFormatter 的移除是 .NET 平台安全加固的重要一步。虽然这会给部分项目带来迁移成本,但从长远来看,采用更现代的序列化方案将提高应用程序的安全性和可维护性。建议开发者尽早规划迁移工作,避免在升级到 .NET 9 时遇到兼容性问题。

docs This repository contains .NET Documentation. docs 项目地址: https://gitcode.com/gh_mirrors/docs2/docs

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

二进制序列化器、XML序列化器、Json序列化器
baidu_33146219的博客
07-24 1万+
介绍二进制序列化器、XML序列化器、Json序列化器,其中Json序列化器分别介绍了.Net 标准库 `System.Text.Json`、`System.Runtime.Serialization.Json` 和 Newtonsoft 库`Newtonsoft.Json`
.NET Core 3.1 升级到 .NET 8
寒冰屋的专栏
12-13 1104
.NET Core 3.1 已经用了很长一段时间,其实在 2022 年的年底微软已经不提供支持了,后面的一个 LTS 版本 .NET 6 也会在 2024 年 11 月终止支持,所以直接升级到 .NET 8 是最好的选择。
C# .Net 5 中 Serialize过时 BinaryFormatter.Serialize(Stream, object)”已过时
kuyz1的专栏
06-20 1519
【代码】C# .Net 5 中 Serialize过时 BinaryFormatter.Serialize(Stream, object)”已过时
.NET 9 - BinaryFormatter移除
limingdinghao的博客
11-15 1255
NET 9 SDK正式版已经发布, 下载地址是.NET9同时.NET Conf 2024 大会已经从2024-11-13开始了,感觉Aspire和AI的内容相对挺多的,主题分享演示时候打开的网站大部分都是Blazor制作的。这次.NET Conf 2024老师也再次说明了一下,note, BinaryFormatter 存在remote code execution的安全问题BinaryFormatter.NET8开始,已经被标记为Obsolete。
BinaryFormatter序列化实例(四)
Colin的专栏
12-21 6360
将Voucher[] vouchers进行序列化时,可以看到Assembly和Type的信息只生成了一次,但是如果在vouchers中包含派生自Voucher的类的实例,也就是说vouchers是一个多态数组的时候,又是什么情况呢。如果BinnaryFormatter保存的是静态类型,那么反序列化时就不能完整恢复对象了。另一方面,因为BinaryFormatter.Serialize方法的参数是o
C#上位机适配汇川PLC:数据缓存与管理策略优化
本文首先概述了C#与PLC通信的基础知识,紧接着探讨了数据缓存策略的理论与实践,分析了管理策略在数据缓存优化中的应用。通过深入研究上位机与PLC的高效交互,本文揭示了通信优化、数据同步问题及其在不同系统中的...
VB控件的用户自定义属性与方法:深度定制控件功能
文章不仅详细解释了控件自定义属性与方法在控件开发中的重要性,还提供了实现这些自定义特性的具体步骤,包括属性的声明、初始化、存储访问、通知机制以及方法的定义、参数传递和异步执行等。同时,文章探讨了控件的...
为什么.NET 9.0 强烈建议不要使用 BinaryFormatter移除了相关支持
dotnet研习社
08-20 3025
.NET 框架中的一个序列化工具,它能够将对象及其状态转换为二进制流。这些二进制数据可以被存储到文件中、通过网络传输,或者在应用程序的不同部分之间传递。序列化:将对象转换为二进制格式的过程。这个过程遍历对象的成员,将其数据转换为字节流。反序列化:将二进制数据恢复为原始对象的过程。反序列化通过读取二进制流,恢复对象的状态。set;set;// 序列化// 反序列化Nameget;set;get;set;
.NET 9 开始,运行时将不再提供 BinaryFormatter
farway000的博客
09-10 573
.NET 9 开始,我们不再在运行时中包含BinaryFormatter实现.NET Framework 保持不变)。API 仍然存在,但无论项目类型是什么,它们的实现始终抛出异常。因此,设置现有的向下兼容性标志已不足以使用 BinaryFormatter。在这篇博文中,我将解释为什么做出这一更改以及您可以采取哪些选项。TL;DR:我该怎么办?您有两个应对 BinaryFormatt...
.NET Core 技术解析:BinaryFormatter 序列化方法已过时在 ASP.NET 应用中禁用
gitblog_00316的博客
06-10 333
.NET Core 技术解析:BinaryFormatter 序列化方法已过时在 ASP.NET 应用中禁用 docs This repository contains .NET Documentation. 项目地址: htt...
在 WCF 中使用高效的 BinaryFormatter 序列化
weixin_33928467的博客
06-24 197
本文将定义一个 WCF 终结点行为扩展,以在 WCF 中使用更高效的 BinaryFormatter 进行二进制序列化,实现对是否使用传统二进制序列化功能的可配置。 介绍 实现步骤 使用方法 效果   介绍 在 OEA 框架中,是使用 WCF 作为数据传输框架。但是使用 WCF 内部的二进制序列化,序列化后的数据大小,要比使用传统的 System.Runtime.Ser...
C#序列化和反序列化
lilongherolilong的专栏
08-17 2743
C#序列化和反序列化 系列化是将对象写入流的过程,而反序列化是从流中读取对象的过程。在类上使用[Serializable]属性标注为可序列化,用[NoSerializable]标注某变量不可被序列化。 有时候在程序中徐希望将一个变量序列化,却希望在反序列化的时候可以得到这
.net BinaryFormatter序列化对象慢的原因
weixin_33807284的博客
05-06 419
    最近在做组件对象写入流的优化,因此对一些.net下序列化组件做了一些测试,分别针对ProtoBuf.net.net自带的BinaryFormatter进行了分析.从测试的结果来看BinaryFormatter的性能和ProtoBuf.net的性能足足相差了10倍。为什么差这么远呢,如果紧紧从运行时间来看可能以为BinaryFormatter一定是使用反射什么的,所以导致结果这么慢。为了...
C# BinaryFormatter序列号和反序列化 失败问题
^@^lemon tea^@^
11-30 2264
异常问题:改变类的命名空间后不能用的BinaryFormatter反序列化。 详细异常:{"[A] XXXX Config 无法强制转换为 [B] XXXX Config。类型 A 源自“DSViewer, Version=1.0.0.1, Culture=neutral, PublicKeyToken=null”(在上下文“Default”中的“AAAAAAAAAAA”位置处)。类型 B 源自...
序列化与反序列化 BinaryFormatter.Serialize 方法 (Stream, Object)
weixin_30785593的博客
09-20 881
1 using System; 2 using System.IO; 3 using System.Collections; 4 using System.Runtime.Serialization.Formatters.Binary; 5 using System.Runtime.Serialization; 6 7 public class App 8 {...
BinaryFormatter反序列化漏洞
UKK
06-20 2803
BinaryFormatter反序列化漏洞 http://www.ifind.cc/view/230
微机原理实验报告微机与接口技术.docx
06-20
微机原理实验报告微机与接口技术.docx
基于硬件性能计数器的恶意软件检测技术综述.zip
最新发布
06-20
基于硬件性能计数器的恶意软件检测技术综述.zip
三相感应电动机的速度控制simulink.rar
06-20
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
.NET高级代码审计:BinaryFormatter反序列化漏洞详解
".NET高级代码审计(第九课) BinaryFormatter反序列化漏洞1" 本文主要探讨的是.NET框架中的BinaryFormatter反序列化漏洞,这是一种可能导致远程代码执行(RCE)的安全风险。BinaryFormatter是一个用于对象序列化和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晏灵昀Odette

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值