如何正確實現一個自定義Exception（二）

-Advertisement-

上一篇《如何正確實現一個自定義 Exception》發佈後獲得不少 star。有同學表示很擔憂，原來自己這麼多年一直寫錯了。其實大家不用過分糾結，如果寫的是 .NET CORE 1.0+ 的程式，那麼大概率是沒有問題的。有大佬已經在評論區指出這些信息是過時的了。確實在.NET CORE 發佈之後， ...

上一篇《如何正確實現一個自定義 Exception》發佈後獲得不少 star。有同學表示很擔憂，原來自己這麼多年一直寫錯了。其實大家不用過分糾結，如果寫的是 .NET CORE 1.0+ 的程式，那麼大概率是沒有問題的。
有大佬已經在評論區指出這些信息是過時的了。確實在.NET CORE 發佈之後，Exception 已經不在推薦實現 ISerializable 介面。讓我們細說一下。

BinaryFormatter security vulnerabilities

上一篇我們談論了這麼多，其實都是在說 ISerializable 的 patten。ISerializable 主要的作用就是給 BinaryFormatter 序列化器提供指示如何進行序列化/反序列化。也就是說這個介面基本上就是給 BinaryFormatter 設計的。BinaryFormatter 主要是給 .NET remoting 技術服務（一種古老的 RPC 技術，聽過的都是老司機，不太確定 WCF 的 Binary 序列化是否使用該技術）。
但是很不幸，這個 BinaryFormatter 存在嚴重的安全風險。

BinaryFormatter 類型會帶來風險，不建議將其用於數據處理。即使應用程式認為自己正在處理的數據是可信的，也應儘快停止使用 BinaryFormatter。 BinaryFormatter 不安全，無法確保全全。

不光是 BinaryFormatter 有風險，以下這些序列化器同樣存在風險，應避免使用：

SoapFormatter
LosFormatter
NetDataContractSerializer
ObjectStateFormatter

當前微軟主要推薦使用：

System.Text.Json
XmlSerializer

https://learn.microsoft.com/zh-cn/dotnet/standard/serialization/binaryformatter-security-guide

其實不光是 .NET，其他語言在序列化反序列化上都很容易引入安全漏洞，比如 JAVA 的 jackson 就爆過序列化安全漏洞。

BinaryFormatter Obsolete

由於 remoting 技術在 .NET CORE 中已經廢棄，並且有嚴重的安全風險，所以微軟開始慢慢淘汰 BinaryFormatter 這個介面。
以下是 binaryformatter-obsoletion 的 roadmap：

.NET 5 (Nov 2020)

Allow disabling BinaryFormatter via an opt-in feature switch
ASP.NET projects disable BinaryFormatter by default but can re-enable
WASM projects disable BinaryFormatter with no ability to re-enable
All other project types (console, WinForms, etc.) enable BinaryFormatter by default
.NET produces guidance document on migrating away from BinaryFormatter
All outstanding BinaryFormatter-related issues resolved won't fix
Introduce a BinaryFormatter tracing event source
Serialize and Deserialize marked obsolete as warning

.NET 6 (Nov 2021)

No new [Serializable] types introduced
No new calls to BinaryFormatter from any first-party dotnet org code base
All first-party dotnet org code bases begin migration away from BinaryFormatter

.NET 7 (Nov 2022)

All first-party dotnet org code bases continue migration away from BinaryFormatter
References to BinaryFormatter APIs marked obsolete as warnings in .NET 5 now result
in build errors
A back-compat switch is made available to turn these back to warnings

.NET 8 (Nov 2023)

All first-party dotnet org code bases complete migration away from BinaryFormatter
BinaryFormatter disabled by default across all project types
All not-yet-obsolete BinaryFormatter APIs marked obsolete as warning
Additional legacy serialization infrastructure marked obsolete as warning
No new [Serializable] types introduced (all target frameworks)

.NET 9 (Nov 2024)

Remainder of legacy serialization infrastructure marked obsolete as warning
BinaryFormatter infrastructure removed from .NET
Back-compat switches also removed

從 .NET5 開始會出現警告，到.NET6 BUILD 的時候直接會是 ERROR，但是可以強制啟用。到.NET9 會完全從 .NET 中移除。
那麼既然 BinaryFormatter 在目前已經不在推薦使用，自然我們的自定義 Exception 也不用遵循 ISerializable patten 了。以下鏈接是微軟給出的當前自定義 Exception 實現的建議，太長就不複製了。總之已經不在需求實現 protected 的序列化構造器，也不用 override GetObjectData 方法。

https://github.com/dotnet/docs/issues/34893

感謝

飯勺oO
czd890

等大佬提供相關鏈接。

關註我的公眾號一起玩轉技術

QQ群：1022985150 VX：kklldog 一起探討學習.NET技術
作者：Agile.Zhou(kklldog)
出處：http://www.cnblogs.com/kklldog/
本文版權歸作者和博客園共有，歡迎轉載，但未經作者同意必須保留此段聲明，且在文章頁面明顯位置給出原文連接，否則保留追究法律責任的權利。

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

註意避坑！Java 內部類持有外部類會導致記憶體泄露。。。

簡介說明本文介紹 Java 內部類持有外部類導致記憶體泄露的原因以及其解決方案。為什麼內部類持有外部類會導致記憶體泄露非靜態內部類會持有外部類，如果有地方引用了這個非靜態內部類，會導致外部類也被引用，垃圾回收時無法回收這個外部類（即使外部類已經沒有其他地方在使用了）。解決方案不要讓其他的地方 ...
平衡二叉樹（Balanced Binary Tree）

平衡二叉樹（Balanced Binary Tree）平衡二叉樹是一種特殊的二叉搜索樹，它具有以下特點：每個節點的左子樹和右子樹的高度差不超過1。所有的子樹也都是平衡二叉樹。通過保持平衡性，平衡二叉樹可以在最壞情況下仍然具有較好的性能，保證查找、插入和刪除操作的時間複雜度為O(log n)。 ...
二叉搜索樹（Binary Search Tree，BST）

二叉搜索樹（Binary Search Tree，BST）二叉搜索樹（Binary Search Tree），也稱二叉查找樹或二叉排序樹，是一種特殊的二叉樹，它滿足以下性質對於二叉搜索樹的每個節點左子樹中的所有節點的值都小於該節點的值右子樹中的所有節點的值都大於（或等於）該節點的值對於二叉 ...
Go語句與表達式深度解析：全案例手冊

關註公眾號【TechLeadCloud】，分享互聯網架構、雲服務技術的全維度知識。作者擁有10+年互聯網服務架構、AI產品研發經驗、團隊管理經驗，同濟本復旦碩，復旦機器人智能實驗室成員，阿裡雲認證的資深架構師，項目管理專業人士，上億營收AI產品研發負責人。語句語句是Go編程語言中完成特定操作的單 ...
二叉樹（binary tree）

二叉樹（binary tree）二叉樹（Binary Tree）是一種常見的樹狀數據結構，它由一組節點組成，每個節點最多有兩個子節點，分別稱為左子節點和右子節點。二叉樹具有以下特點：每個節點最多有兩個子節點，分別稱為左子節點和右子節點。左子樹和右子樹也是二叉樹，它們的結構與父節點類似。二叉樹 ...
一個全面、完整、穩定的 k8s 集群架構，值得借鑒！

來源：https://www.cnblogs.com/zisefeizhu/p/13692782.html 前言我司的集群時刻處於崩潰的邊緣，通過近三個月的掌握，發現我司的集群不穩定的原因有以下幾點： 1、發版流程不穩定 2、缺少監控平臺【最重要的原因】 3、缺少日誌系統 4、極度缺少有關操作文檔 ...
面試好題：@Transactional聲明式事務註解什麼時候會失效？

面試題：@Transactional聲明式事務註解什麼時候會失效前言今天來分享一道比較有意思的面試題，“@Transactional聲明式事務註解什麼時候會失效？”。對於這個問題，我們一起看看考察點和比較好的回答吧！考察點這個問題就是面試官想考察我們對@Transactional註解有沒有 ...
LeetCode98：驗證二叉搜索樹，居然有這麼簡單的中等難度，白撿(用時擊敗100%)

歡迎訪問我的GitHub 這裡分類和彙總了欣宸的全部原創(含配套源碼)：https://github.com/zq2599/blog_demos 關於LeetCode98 做這道題之前，我反覆審題，最後確認：沒錯，不存在什麼坑，這道題確實非常非常簡單，然而卻被官方定義為中等難度這一定是送分，白撿一 ...