BinaryFormatter 已被弃用并彻底移除,因其反序列化不验证类型,易导致远程代码执行;推荐改用 System.Text.Json 或 Newtonsoft.Json,遗留数据处理需严格限制类型且仅限可信环境。
BinaryFormatter 已被弃用,不应在新项目中使用。它存在严重安全风险(反序列化任意类型可导致远程代码执行),且自 .NET 5 起默认禁用,.NET Core 3.1+ 和所有现代 .NET(6/7/8/9)中已彻底移除 BinaryFormatter 类型。
为什么 BinaryFormatter 被禁用
根本原因是它不验证反序列化类型,攻击者可构造恶意字节流,在调用 Deserialize() 时触发危险类型(如 ProcessStartInfo、AssemblyLoadContext)的构造或 setter,直接执行任意代码。
- 即使对象图看似“干净”,只要其中某个类型有可利用的反序列化逻辑,就可能被链式利用
- .NET 运行时无法区分“可信数据”和“不可信数据”,而
BinaryFormatter默认信任所有输入 -
微软已在
System.Runtime.Serialization.Formatters.Binary命名空间中将BinaryFormatter标记为[Obsolete],并在运行时抛出SerializationException或NotSupportedException
替代方案:用 System.Text.Json 或 Newtonsoft.Json
绝大多数场景下,应改用基于文本、类型明确、可配置的序列化器。JSON 是首选:
-
System.Text.Json(.NET Core 3.0+ 内置,高性能、内存友好) -
Newtonsoft.Json(兼容性更强,支持更多边缘特性,如TypeNameHandling)
示例(使用 System.Text.Json):
using System.Text.Json;
var options = new JsonSerializerOptions { WriteIndented = true };
string json = JsonSerializer.Serialize(myObject, options);
MyClass obj = JsonSerializer.Deserialize(json, options);
注意:System.Text.Json 默认不序列化 private 字段或无 getter 的属性;需加 [JsonPropertyName] 或启用 IncludeFields = true 等选项。
沙之丘企业网站程序是一个以asp.net(C#) 4.0 +access进行开发的企业网站源码。主要功能:1、产品、设备、新闻系统2、留言信息直接发邮件到相关部门3、所有链接都以一级目录显示更好的权重4、其他信息扩展,可以增加如:人事招聘,公司介绍,地图,联系我们等5、带有商品和设备的搜索功能6、模板动态化方便扩展模板7、简体繁体选择显示运行环境:windows 2003或者更高windows服务
如果必须处理遗留 BinaryFormatter 数据
仅限读取老系统存档(如旧版 WinForms 配置文件、本地缓存),且确认数据来源完全可信:
- 只能在 .NET Framework 4.6.2–4.8 中运行(.NET Core/5+ 不含该类型)
- 需在项目文件中显式启用(不推荐):
true - 必须配合
SerializationBinder严格限制反序列化类型,例如只允许你定义的几个[Serializable]类:
class SafeBinder : SerializationBinder
{
public override Type BindToType(string assemblyName, string typeName)
{
if (typeName == "MyApp.UserSettings" && assemblyName.StartsWith("MyApp"))
return typeof(UserSettings);
throw new SerializationException("Type not allowed");
}
}
var formatter = new BinaryFormatter();
formatter.Binder = new SafeBinder();
object obj = formatter.Deserialize(stream); // 仍高危,仅作临时迁移
即便如此,仍不建议在任何联网或用户输入参与的路径中启用它。
真正需要二进制紧凑格式的场景(如 IPC、高频本地缓存),应选 protobuf-net(gRPC 兼容)、MessagePack-CSharp 或 Span 手动编排 —— 它们都要求显式契约,天然免疫类型混淆攻击。
