BinaryFormatter 已被弃用并彻底移除,因其反序列化不验证类型,易导致远程代码执行;推荐改用 System.Text.json 或 Newtonsoft.json,遗留数据处理需严格限制类型且仅限可信环境。
BinaryFormatter 已被弃用,不应在新项目中使用。它存在严重安全风险(反序列化任意类型可导致远程代码执行),且自 .net 5 起默认禁用,.NET Core 3.1+ 和所有现代 .NET(6/7/8/9)中已彻底移除 BinaryFormatter 类型。
为什么 BinaryFormatter 被禁用
根本原因是它不验证反序列化类型,攻击者可构造恶意字节流,在调用 Deserialize() 时触发危险类型(如 ProcessStartInfo、AssemblyLoadContext)的构造或 setter,直接执行任意代码。
- 即使对象图看似“干净”,只要其中某个类型有可利用的反序列化逻辑,就可能被链式利用
- .NET 运行时无法区分“可信数据”和“不可信数据”,而
BinaryFormatter默认信任所有输入 - 微软已在
System.Runtime.Serialization.Formatters.Binary命名空间中将BinaryFormatter标记为[Obsolete],并在运行时抛出SerializationException或NotSupportedException
替代方案:用 System.Text.Json 或 Newtonsoft.Json
绝大多数场景下,应改用基于文本、类型明确、可配置的序列化器。JSON 是首选:
-
System.Text.Json(.NET Core 3.0+ 内置,高性能、内存友好) -
Newtonsoft.Json(兼容性更强,支持更多边缘特性,如TypeNameHandling)
示例(使用 System.Text.Json):
using System.Text.Json; var options = new JsonSerializerOptions { WriteIndented = true }; string json = JsonSerializer.Serialize(myObject, options); MyClass obj = JsonSerializer.Deserialize(json, options); 注意:System.Text.Json 默认不序列化 private 字段或无 getter 的属性;需加 [JsonPropertyName] 或启用 IncludeFields = true 等选项。
如果必须处理遗留 BinaryFormatter 数据
仅限读取老系统存档(如旧版 winForms 配置文件、本地缓存),且确认数据来源完全可信:
- 只能在 .NET Framework 4.6.2–4.8 中运行(.NET Core/5+ 不含该类型)
- 需在项目文件中显式启用(不推荐):
true - 必须配合
SerializationBinder严格限制反序列化类型,例如只允许你定义的几个[Serializable]类:
class SafeBinder : SerializationBinder { public override Type BindToType(string assemblyName, string typeName) { if (typeName == "Myapp.UserSettings" && assemblyName.StartsWith("MyApp")) return typeof(UserSettings); throw new SerializationException("Type not allowed"); } } var formatter = new BinaryFormatter(); formatter.Binder = new SafeBinder(); object obj = formatter.Deserialize(stream); // 仍高危,仅作临时迁移即便如此,仍不建议在任何联网或用户输入参与的路径中启用它。
真正需要二进制紧凑格式的场景(如 IPC、高频本地缓存),应选 protobuf-net(gRPC 兼容)、MessagePack-CSharp 或 Span 手动编排 —— 它们都要求显式契约,天然免疫类型混淆攻击。