1.简单介绍
.NET 9 SDK正式版已经发布, 下载地址是.NET9
同时.NET Conf 2024 大会已经从2024-11-13开始了,感觉Aspire和AI的内容相对挺多的,主题分享演示时候打开的网站大部分都是Blazor制作的。
这次.NET Conf 2024老师也再次说明了一下,
BinarryFormatter is inherely insecure, stop using it
note, BinaryFormatter 存在remote code execution的安全问题
BinaryFormatter 从.NET8开始,已经被标记为Obsolete。.NET9开始已经把BinaryFormatter移除
这边简单记录一下BinaryFormatter在.NET8和.NET9运行的情况
2.具体说明
假定有一个Person类
2.1 .NET8中的BinaryFormatter
2.1.1 修改项目配置文件前
在Visual Studio中编写序列化的代码,发现BinaryFormatter有如下标记
表示BinaryFormatter已经Obsolete了
直接编译代码,是报错的。
2.1.2 修改项目配置文件
这时如果想让代码编译通过且运行正常,需要在项目文件中加上如下配置
<EnableUnsafeBinaryFormatterSerialization>true</EnableUnsafeBinaryFormatterSerialization>加上上述的配置后,BinaryFormatter的状态如下,并且编译不会报错,但是有Obsolete警告出现
note, 修改配置之后,项目能运行了,不过BinaryFormatter不建议使用
2.2 .NET 9 的中BinaryFormatter
2.2.1 修改项目配置文件前
未修改项目配置文件时候和.NET8一样的, 编译有报错
2.2.2 修改项目配置文件
如果要恢复正常运行,则需要修改项目配置文件,
1)需要加上配置
<EnableUnsafeBinaryFormatterSerialization>true</EnableUnsafeBinaryFormatterSerialization>2)并且安装nuget package(insecure) - System.Runtime.Serialization.Formatters
如果不安装package,运行项目会出现下错误,
修改后的配置如下图所示,
修改了上面两个配置之后,再次编译项目,发现能编译通过,
不过有BinaryFormatter Obsolete的警告出现
下面是代码编译之后的图片
note, 修改配置之后,项目能运行了,不过BinaryFormatter不建议使用
3.总结
本文简单尝试了一下BinaryFormatter在.NET8和.NET9中的状态。正常项目中,不建议使用。
本文如果哪里有错误的地方,麻烦告之,谢谢谢谢!