为什么二进制序列化要求将对象标记为可序列化?

XmlSerializer 在所有情况下都可以安全使用,因为它只序列化可公开访问的数据,类的用户无论如何都可以访问这些数据。

任何运行时格式化程序(包括 BinaryFormatter )序列化公开和私人可访问的信息,这样可以让呼叫者访问他们本来不应该拥有的信息。将您的类型标记为 [Serializable] 实际上,您是在说您已经考虑过这个问题,并且允许任何人查看关于您的类型的序列化信息。

这是一个“默认安全”的选择,这样您就不会意外地将敏感数据(如信用卡详细信息)序列化到不应该出现的地方,如日志或数据库。

两者之间的根本区别 BinaryFormatter XML序列化程序(明显的输出格式除外)是二进制序列化保留类型信息(私有/公共属性、方法、事件等)。这就是这种类型的序列化用于远程处理的原因之一。唯一的要求是用 SerializableAttribute .