如何正确实现一个自定义Exception(二)

这篇具有很好参考价值的文章主要介绍了如何正确实现一个自定义Exception(二)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

上一篇《如何正确实现一个自定义 Exception》发布后获得不少 star。有同学表示很担忧,原来自己这么多年一直写错了。其实大家不用过分纠结,如果写的是 .NET CORE 1.0+ 的程序,那么大概率是没有问题的。
有大佬已经在评论区指出这些信息是过时的了。确实在.NET CORE 发布之后,Exception 已经不在推荐实现 ISerializable 接口。让我们细说一下。

BinaryFormatter security vulnerabilities

上一篇我们谈论了这么多,其实都是在说 ISerializable 的 patten。ISerializable 主要的作用就是给 BinaryFormatter 序列化器提供指示如何进行序列化/反序列化。也就是说这个接口基本上就是给 BinaryFormatter 设计的。BinaryFormatter 主要是给 .NET remoting 技术服务(一种古老的 RPC 技术,听过的都是老司机,不太确定 WCF 的 Binary 序列化是否使用该技术)。
但是很不幸,这个 BinaryFormatter 存在严重的安全风险。

BinaryFormatter 类型会带来风险,不建议将其用于数据处理。 即使应用程序认为自己正在处理的数据是可信的,也应尽快停止使用 BinaryFormatterBinaryFormatter 不安全,无法确保安全。

不光是 BinaryFormatter 有风险,以下这些序列化器同样存在风险,应避免使用:

  • SoapFormatter
  • LosFormatter
  • NetDataContractSerializer
  • ObjectStateFormatter

当前微软主要推荐使用:

  • System.Text.Json
  • XmlSerializer

https://learn.microsoft.com/zh-cn/dotnet/standard/serialization/binaryformatter-security-guide

其实不光是 .NET,其他语言在序列化反序列化上都很容易引入安全漏洞,比如 JAVA 的 jackson 就爆过序列化安全漏洞。

BinaryFormatter Obsolete

由于 remoting 技术在 .NET CORE 中已经废弃,并且有严重的安全风险,所以微软开始慢慢淘汰 BinaryFormatter 这个接口。
以下是 binaryformatter-obsoletion 的 roadmap:

  • .NET 5 (Nov 2020)
  1. Allow disabling BinaryFormatter via an opt-in feature switch
  2. ASP.NET projects disable BinaryFormatter by default but can re-enable
  3. WASM projects disable BinaryFormatter with no ability to re-enable
  4. All other project types (console, WinForms, etc.) enable BinaryFormatter by default
  5. .NET produces guidance document on migrating away from BinaryFormatter
  6. All outstanding BinaryFormatter-related issues resolved won't fix
  7. Introduce a BinaryFormatter tracing event source
  8. Serialize and Deserialize marked obsolete as warning
  • .NET 6 (Nov 2021)
  1. No new [Serializable] types introduced
  2. No new calls to BinaryFormatter from any first-party dotnet org code base
  3. All first-party dotnet org code bases begin migration away from BinaryFormatter
  • .NET 7 (Nov 2022)
  1. All first-party dotnet org code bases continue migration away from BinaryFormatter
  2. References to BinaryFormatter APIs marked obsolete as warnings in .NET 5 now result
  3. in build errors
  4. A back-compat switch is made available to turn these back to warnings
  • .NET 8 (Nov 2023)
  1. All first-party dotnet org code bases complete migration away from BinaryFormatter
  2. BinaryFormatter disabled by default across all project types
  3. All not-yet-obsolete BinaryFormatter APIs marked obsolete as warning
  4. Additional legacy serialization infrastructure marked obsolete as warning
  5. No new [Serializable] types introduced (all target frameworks)
  • .NET 9 (Nov 2024)
  1. Remainder of legacy serialization infrastructure marked obsolete as warning
  2. BinaryFormatter infrastructure removed from .NET
  3. Back-compat switches also removed

从 .NET5 开始会出现警告,到.NET6 BUILD 的时候直接会是 ERROR,但是可以强制启用。到.NET9 会完全从 .NET 中移除。
那么既然 BinaryFormatter 在目前已经不在推荐使用,自然我们的自定义 Exception 也不用遵循 ISerializable patten 了。以下链接是微软给出的当前自定义 Exception 实现的建议,太长就不复制了。总之已经不在需求实现 protected 的序列化构造器,也不用 override GetObjectData 方法。

https://github.com/dotnet/docs/issues/34893

感谢

  • 饭勺oO
  • czd890

等大佬提供相关链接。文章来源地址https://www.toymoban.com/news/detail-707937.html

关注我的公众号一起玩转技术

到了这里,关于如何正确实现一个自定义Exception(二)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 如何自定义一个单例类?

    要自定义编写一个单例类,有两种方法如下: 一、饿汉式单例: 饿汉式单例指的是在 类加载时就创建并初始化单例对象 。下面是一个简单的饿汉式单例Bean的示例: 二、懒汉式单例: 1、将类的 构造方法私有化 ,以防止其他代码通过new创建对象。 2、在类内部创建一

    2024年02月13日
    浏览(29)
  • angular中如何定义一个全局组件?

    需求,我们需要新建一个navBreadcrumb的全局组件。这是一个面包屑导航,在不同的页面引入时传入一个路由数组即可。 第一步:我们新建这个组件: 这里有几个要注意的点: 1 ---nav-breadcrumb.module----------这个文件时一定要的。angular和vue/react不同,modulecomponent,对于任何页面而

    2024年02月12日
    浏览(38)
  • python如何定义一个简单的队列

    哈哈,其实根本不需要用 类 (class)去定义一个 队列 (queue),因为我没有想到 list 结构竟然这么万能,它本身就是一个活生生的 队列 。 1.定义一个队列,其实就是一个列表哈哈,说明一下,队头在前面,队尾在后面。 即,这个队列a对应如下图示: 2.入队 insert tail ,这个大家

    2023年04月08日
    浏览(44)
  • 如何写一个react自定义的hooks?

    使用过useState,也使用过ahook的useSetState,我们知道useState和useSetState左边赋值的第一个参数是接收初始值的变量和设置变量的方法,这里左边用的是数组解构实现的。所以,这里我们想一下,如何自定义一个hooks,也可以像useState和useSetState那样呢? 按我个人的理解,react自定义

    2024年03月15日
    浏览(39)
  • 【操作日志】如何在一个SpringBoot+Mybatis的项目中设计一个自定义ChangeLog记录?

    设计一个业务改动信息时的自定义记录,例如新增、修改、删除数据等。并且记录的规则可以通过配置的方式控制。大家需要根据各自业务场景参考,欢迎讨论。伪代码如下: 实体类:   DAO层:     自定义注解:   Http接口请求参数:   Http接口:   SQL拦截器:   Spring切面

    2024年02月06日
    浏览(41)
  • Java中的异常Exception和捕获,自定义异常

    1.1 什么是程序的异常  在使用计算机语言进行项目开发的过程中,即使程序员把代码写得尽善尽美,在系统的运行过程中仍然会遇到一些问题,因为很多问题不是靠代码能够避免的。 异常 :指的是程序在执行过程中,出现的非正常情况,如果不处理最终会导致JVM的非正常停

    2023年04月20日
    浏览(41)
  • python 教你如何创建一个自定义库 colorlib.py

    目录 Colorlib 生成代码 模块代码 导入测试 测试一 测试二 应用测试 颜色列表 colorList 随机颜色元组 randcolorTuples 随机颜色字串 randcolorStrings Color类测试 测试一 测试二 题外话 有没有碰到过这样的场景:写代码时想要用上丰富的色彩,但苦思冥想搜肠刮肚只记得这几个常用颜色

    2024年03月23日
    浏览(42)
  • 如何优雅地创建一个自定义的Spring Boot Starter

    优雅永不过时,希望看完本文,你会觉得starter如此优雅! Spring Boot Starter是一种简化Spring Boot应用开发的机制,它可以通过引入一些预定义的依赖和配置,让我们快速地集成某些功能模块,而无需繁琐地编写代码和配置文件。Spring Boot官方提供了很多常用的Starter,例如 spring

    2024年02月11日
    浏览(57)
  • Java lambda表达式如何自定义一个toList Collector

    匿名类: Combiner: 应用: 优化初始容器的容量: Jdk toList默认实现:

    2024年02月01日
    浏览(41)
  • 如何实现设备组缓存的正确清除?——基于心跳请求和心跳响应的解决方案

    在设备组关闭后,如何保证缓存中的设备组信息能够正确清除?本文将介绍如何通过前端实现设备组心跳检测和缓存清除,以及通过后端实现缓存清除的逻辑来解决该问题。我们还将详细讨论如何利用心跳请求和心跳响应来实现设备组缓存的正确清除,并提供基于Vue和Spring

    2024年02月07日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包