序列化是将对象转换为容易传输的格式的过程。例如,可以序列化一个对象,然后使用 HTTP 通过 Internet 在客户端和服务器之间传输该对象。反之,反序列化根据流重新构造对象。
XML 序列化仅将对象的公共字段和属性值序列化为 XML 流。XML 序列化不包括类型信息。例如,如果 Library 命名空间中有一个 Book 对象,将不能保证它会被反序列化为同一类型的对象。
备注
XML 序列化不转换方法、索引器、私有字段或只读属性(只读集合除外)。要序列化对象的所有字段和属性(公共的和私有的),请使用 BinaryFormatter,而不要使用 XML 序列化。
XML 序列化中最主要的类是 XmlSerializer 类,它的最重要的方法是 Serialize 和 Deserialize 方法。XmlSerializer 创建 C# 文件并将文件编译为 .dll 文件,以执行此序列化。在 .NET Framework 2.0 中,XML 序列化程序生成器工具 (Sgen.exe) 用于事先生成这些序列化程序集,以便与应用程序一同部署,并提高启动性能。XmlSerializer 生成的 XML 流符合万维网联合会 (www.w3.org) XML 架构定义语言 (XSD) 1.0 的建议。另外,生成的数据类型符合标题为“XML Schema Part 2: Datatypes”(英文)的文档。
对象中的数据是用编程语言构造(如类、字段、属性、基元类型、数组,甚至 XmlElement 或 XmlAttribute 对象形式的嵌入 XML)来描述的。您可以选择自己创建用属性批注的类,也可以使用 XML 架构定义工具生成基于现有 XML 架构的类。
如果您有 XML 架构,就可运行 XML 架构定义工具生成一组强类型化为架构并用属性批注的类。当序列化这样的类的实例时,生成的 XML 符合 XML 架构。使用这样的类,就可针对容易操作的对象模型进行编程,同时确保生成的 XML 符合 XML 架构。这是使用 .NET Framework 中的其他类(如 XmlReader 和 XmlWriter 类)分析和写入 XML 流的一种备用方法。有关更多信息,请参见 XML 文档和数据。这些类使您可以分析任何 XML 流。与此相反,当需要 XML 流符合已知的 XML 架构时,请使用 XmlSerializer。
属性控制由 XmlSerializer 类生成的 XML 流,使您可以设置 XML 流的 XML 命名空间、元素名、属性名等。有关这些属性和它们如何控制 XML 序列化的更多信息,请参见使用属性控制 XML 序列化。有关用于控制生成的 XML 的属性表,请参见控制 XML 序列化的属性。
XmlSerializer 类可进一步序列化对象并生成编码的 SOAP XML 流。生成的 XML 符合标题为“Simple Object Access Protocol (SOAP) 1.1”(英文)的万维网联合会文档的第 5 节。有关该过程的更多信息,请参见如何:将对象序列化为 SOAP 编码的 XML 流。有关控制生成的 XML 的属性表,请参见控制编码的 SOAP 序列化的属性。
XmlSerializer 类生成由 XML Web 服务创建和传递给 XML Web 服务的 SOAP 消息。要控制 SOAP 消息,可将属性应用于 XML Web 服务文件 (.asmx) 中的类、返回值、参数和字段。您可以同时使用在“控制 XML 序列化的属性”中列出的属性和在“控制编码的 SOAP 序列化的属性”中列出的属性,因为 XML Web 服务可以使用文本样式,也可以使用编码的 SOAP 样式。有关使用属性控制 XML Web 服务所生成的 XML 的更多信息,请参见 XML Web 服务的 XML 序列化。有关 SOAP 和 XML Web 服务的更多信息,请参见自定义 SOAP 消息的格式。
XmlSerializer 应用程序的安全注意事项
在创建使用 XmlSerializer 的应用程序时,您应当了解以下几点以及它们的影响:
XmlSerializer 创建 C# 文件(.cs 文件),并将其编译成 .dll 文件,这些 .dll 文件存储在由 TEMP 环境变量指定的目录中;这些 DLL 文件将发生序列化。
备注
这些序列化程序集可以使用 SGen.exe 工具事先生成并签名。这一点并不适用于 Web 服务的服务器端。也就是说,只适用于客户端,并且针对手动序列化。
代码和 DLL 在创建和进行编译时,易于遭受恶意进程的攻击。如果所使用的计算机运行的是 Microsoft Windows NT 4.0 或更高版本,则有可能会有两个或更多用户共享临时目录。如果两个帐户有不同的安全特权,并且具有较高特权的帐户运行一个使用 XmlSerializer 的应用程序,共享临时目录是很危险的。在这种情况下,某一用户可以替换所编译的 .cs 或 .dll 文件,由此破坏计算机的安全。为了避免发生这一问题,请始终确保计算机上的每一帐户都有自己的配置文件。默认情况下,TEMP 环境变量会为每个帐户指向不同的目录。
如果恶意用户向 Web 服务器发送持续的 XML 数据流(拒绝服务攻击),则 XmlSerializer 会一直处理该数据,直到计算机资源不足才停止。
如果您所使用的计算机运行 Internet 信息服务 (IIS),并且您的应用程序是在 IIS 下运行,就可以避免这类攻击。IIS 带有一个控制门,不会处理大于设定数量(默认值是 4 KB)的数据流。如果您所创建的应用程序不使用 IIS,同时该应用程序使用 XmlSerializer 进行反序列化,则应该实现一个类似的控制门,以防止拒绝服务攻击。
XmlSerializer 将使用为其指定的任何类型对数据进行序列化并运行任何代码。
恶意对象施加威胁的方式有两种。一种是运行恶意代码,另一种是将恶意代码插入到由 XmlSerializer 创建的 C# 文件中。在第一种情况下,如果恶意对象试图运行破坏性过程,代码访问安全性将帮助防止发生任何破坏。在第二种情况下,在理论上,恶意对象有可能会以某种方式将代码插入到由 XmlSerializer 创建的 C# 文件中。尽管对这一问题已进行了彻底的检验,而且这类攻击被认为可能性很小,但您还是应该小心一些,一定不要序列化那些未知类型和不可信类型的数据。
已序列化的敏感数据可能易于遭受攻击。
XmlSerializer 对数据进行了序列化之后,数据可以被存储为 XML 文件,或存储在其他数据存储区。如果其他进程可以访问您的数据存储区,或是可以在 Intranet 或 Internet 上看到该数据存储区,数据就可能被窃取,并被恶意使用。例如,如果您创建了一个应用程序,对包含信用卡号码的订单进行序列化,这一数据就非常敏感。为了防止发生这一问题,请始终保护您的数据存储区,并对其采取保密措施。
简单类的序列化
下面的代码示例显示一个具有公共字段的简单类。
Public Class OrderForm
Public OrderDate As DateTime
End Class
public class OrderForm
{
public DateTime OrderDate;
}
当将此类的实例序列化时,该实例可能类似于下面的代码:
<OrderForm>
<OrderDate>12/12/01</OrderDate>
</OrderForm>
有关序列化的更多示例,请参见 XML 序列化的示例。
可以序列化的项
使用 XmLSerializer 类可将下列项序列化:
公共类的公共读/写属性和字段
实现 ICollection 或 IEnumerable 的类
备注
只有集合会被序列化,而公共属性却不会。
XmlElement 对象
XmlNode 对象
DataSet 对象
有关序列化或反序列化对象的更多信息,请参见如何:将对象序列化和如何:将对象反序列化。
使用 XML 序列化的好处
XmlSerializer 类在您将对象序列化为 XML 时为您提供完整而灵活的控制。如果您正在创建 XML Web 服务,则可以将控制序列化的属性应用于类和成员,以确保 XML 输出符合特定的架构。
例如,XmlSerializer 使您能够:
指定应将字段或属性编码为特性还是元素。
指定要使用的 XML 命名空间。
如果字段或属性名不合适,指定元素或特性的名称。
XML 序列化的另一个好处是:只要生成的 XML 流符合给定的架构,对于所开发的应用程序就没有约束。 假定有这样一个用于描述图书的架构。该架构具有标题、作者、出版商和 ISBN 编号元素。您可以开发一个以您希望的任何方式(例如,作为图书订单或作为图书清单)处理 XML 数据的应用程序。在任何一种情况下,唯一的要求是 XML 流应当符合指定的 XML 架构定义语言 (XSD) 架构。
XML 序列化注意事项
使用 XmlSerializer 类时,应考虑下列情况:
Sgen.exe 工具专门用于生成序列化程序集,以获得最佳性能。
序列化数据只包含数据本身以及类的结构。不包括类型标识和程序集信息。
只能序列化公共属性和字段。如果需要序列化非公共数据,请使用 BinaryFormatter 类而不是 XML 序列化。
类必须有一个将由 XmlSerializer 序列化的默认构造函数。
不能序列化方法。
XmlSerializer 可以以不同方式处理实现 IEnumerable 或 ICollection 的类,条件是这些类满足某些要求,如下所示。
实现 IEnumerable 的类必须实现带单个参数的公共 Add 方法。Add 方法的参数必须与从 GetEnumerator 方法返回的 IEnumerator.Current 属性所返回的类型一致(多态)。
除实现 IEnumerable 外还实现 ICollection 的类(如 CollectionBase)必须有一个值为整数的公共 Item 索引属性(在 C# 中为索引器),并且必须有一个整数类型的公共 Count 属性。传递给 Add 方法的参数必须与从 Item 属性返回的类型相同或与该类型的某个基的类型相同。
对于实现 ICollection 的类,要序列化的值将从索引的 Item 属性检索,而不是通过调用 GetEnumerator 来检索。另外,除返回另一个集合类(实现 ICollection 的集合类)的公共字段之外,将不序列化其他公共字段和属性。有关示例,请参见 XML 序列化的示例。
XSD 数据类型映射
标题为“XML Schema Part 2: Datatypes”(英文)的万维网联合会 (www.W3.org) 文档指定在 XML 架构定义语言 (XSD) 架构中允许使用的简单数据类型。对于这些数据类型中的许多类型(例如,int 和 decimal),在 .NET Framework 中都有对应的数据类型。但是,有些 XML 数据类型在 .NET Framework 中没有对应的数据类型(例如,NMTOKEN 数据类型)。在这种情况下,如果使用 XML 架构定义工具 (XML 架构定义工具 (Xsd.exe)) 从架构生成类,就会将适当的特性应用于字符串类型的成员,并会将其 DataType 属性设置为 XML 数据类型名称。例如,如果架构包含一个数据类型为 XML 数据类型 NMTOKEN、名为“MyToken”的元素,则生成的类可能包含以下示例中所示的成员。
<XmlElement(DataType:="NMTOKEN")> _
Public MyToken As String
[XmlElement(DataType = "NMTOKEN")]
public string MyToken;
与此类似,如果创建一个必须符合特定 XML 架构 (XSD) 的类,应当应用适当的特性并将其 DataType 属性设置为所需的 XML 数据类型名称。
有关类型映射的完整列表,请参见下列任何特性类的 DataType 属性:
请参见
任务
参考
XMLSerializer.Serialize
BinaryFormatter
XmlSerializer
FileStream