BinaryFormatter 已被弃用并彻底移除,因其反序列化不验证类型,易导致远程代码执行;推荐改用 System.Text.Json 或 Newtonsoft.Json,遗留数据处理需严格限制类型且仅限可信环境。
BinaryFormatter 已被弃用,不应在新项目中使用。它存在严重安全风险(反序列化任意类型可导致远程代码执行),且自 .NET 5 起默认禁用,.NET Core 3.1+ 和所有现代 .NET(6/7/8/9)中已彻底移除 BinaryFormatter 类型。
根本原因是它不验证反序列化类型,攻击者可构造恶意字节流,在调用 Deserialize() 时触发危险类型(如 ProcessStartInfo、AssemblyLoadContext)的构造或 setter,直接执行任意代码。
仅限可信环境。BinaryFormatter 默认信任所有输入System.Runtime.Serialization.Formatters.Binary 命名空间中将 BinaryFormatter 标记为 [Obsolete],并在运行时抛出 SerializationException 或 NotSupportedException
绝大多数场景下,应改用基于文本、类型明确、可配置的序列化器。JSON 是首选:
System.Text.Json(.NET Core 3.0+ 内置,高性能、内存友好)Newtonsoft.Json(兼容性更强,支持更多边缘特性,如 TypeNameHandling)示例(使用 System.Text.Json):
using System.Text.Json;
var options = new JsonSerializerOptions { WriteIndented = true };
string json = JsonSerializer.Serialize(myObject, options);
MyClass obj = JsonSerializer.Deserialize(json, options);
注意:System.Text.Json 默认不序列化 private 字段或无 getter 的属性;需加 [JsonPropertyName] 或启用 IncludeFields = true 等选项。
仅限读取老系统存档(如旧版 WinForms 配置文件、本地缓存),且确认数据来源完全可信:
true SerializationBinder 严格限制反序列化类型,例如只允许你定义的几个 [Serializable] 类:class SafeBinder : SerializationBinder
{
public override Type BindToType(string assemblyName, string typeName)
{
if (typeName == "MyApp.UserSettings" && assemblyName.StartsWith("MyApp"))
return typeof(UserSettings);
throw new SerializationException("Type not allowed");
}
}
var formatter = new BinaryFormatter();
formatter.Binder = new SafeBinder();
object obj = formatter.Deserialize(stream); // 仍高危,仅作临时迁移
即便如此,仍不建议在任何联网或用户输入参与的路径中启用它。
真正需要二进制紧凑格式的场景(如 IPC、高频本地缓存),应选 protobuf-net(gRPC 兼容)、MessagePack-CSharp 或 Span 手动编排 —— 它们都要求显式契约,天然免疫类型混淆攻击。