介绍 XML 序列化

 

.NET Framework 开发员指南      
序列化是将对象转换为容易传输的格式的过程。例如，可以序列化一个对象，然后使用 HTTP 通过 Internet 在客户端和服务器之间传输该对象。在另一端，反序列化将从该流重新构造对象。

XML 序列化仅将对象的公共字段和属性值序列化为 XML 流。XML 序列化不包括类型信息。例如，如果您有一个存在于 Library 命名空间中的 Book 对象，将不能保证它将会被反序列化为同一类型的对象。

注意   XML 序列化不转换方法、索引器、私有字段或只读属性（只读集合除外）。若要序列化对象的所有字段和属性（公共的和私有的），请使用BinaryFormatter，而不要使用 XML 序列化。

XML 序列化中最主要的类是 XmlSerializer 类，它的最重要的方法是 Serialize 和 Deserialize 方法。XmlSerializer 生成的 XML 流符合万维网联合会 () XML 架构定义语言 (XSD) 1.0 的建议。另外，生成的数据类型符合标题为“XML Schema Part 2: Datatypes”（XML 架构第二部分：数据类型）的文档。

对象中的数据是用编程语言构造（如类、字段、属性、基元类型、数组，甚至 XmlElement 或 XmlAttribute 对象形式的嵌入 XML）来描述的。您可以创建自己的用属性批注的类，，或者使用 XML 架构定义工具生成基于现有 XML 架构的类。

如果您有 XML 架构，就可运行 XML 架构定义工具生成一组强类型化为架构并用属性批注的类。当序列化这样的类的实例时，生成的 XML 符合 XML 架构。使用这样的类，就可针对容易操作的对象模型进行编程，同时确保生成的 XML 符合 XML 架构。这是使用 .NET Framework 中的其他类（如 XmlReader 和 XmlWriter 类）分析和写 XML 流的一种替换方法。（有关使用这些类的更多信息，请参见使用 .NET Framework 中的 XML。）这些类使您可以分析任何 XML 流。与此相反，当需要 XML 流符合已知的 XML 架构时，请使用 XmlSerializer。

属性控制由 XmlSerializer 类生成的 XML 流，使您可以设置 XML 流的 XML 命名空间、元素名、属性名等。有关这些属性和它们如何控制 XML 序列化的更多信息，请参见使用属性控制 XML 序列化。若想获得一个列示对所生成的 XML 起控制作用的那些属性的表，请参见控制 XML 序列化的属性。

XmlSerializer 类可进一步序列化对象并生成编码的 SOAP XML 流。生成的 XML 符合标题为“Simple Object Access Protocol (SOAP) 1.1”的万维网联合会文档的第 5 节。有关此过程的更多信息，请参见用 XML 序列化生成 SOAP 消息。有关控制生成的 XML 的属性表，请参见控制编码的 SOAP 序列化的属性。

XmlSerializer 类生成由 XML Web services 创建和传递给 XML Web services 的 SOAP 消息。若要控制 SOAP 消息，可将属性应用于 XML Web services 文件 (.asmx) 中的类、返回值、参数和字段。您可以同时使用在“控制 XML 序列化的属性”中列出的属性和在“控制编码的 SOAP 序列化的属性”中列出的属性，因为 XML Web services 可以使用文本样式，也可以使用编码的 SOAP 样式。有关使用属性控制 XML Web services 所生成的 XML 的更多信息，请参见 XML Web services 的 XML 序列化。有关 SOAP 和 XML Web services 的更多信息，请参见自定义 SOAP 消息。

保护 XmlSerializer 应用程序

在创建使用 XmlSerializer 的应用程序时，您应当了解以下几点以及它们的影响：

XmlSerializer 创建 C# 文件 (.cs 文件)，并将其编译成 .dll 文件，这些 .dll 文件位于由 TEMP 环境变量指定的目录中；这些 DLL 文件将发生序列化。

代码和 DLL 在创建和进行编译时，易于遭受恶意进程的攻击。如果所使用的计算机运行的是 Microsoft Windows NT 4.0 或更高版本，则有可能会有两个或更多用户共享临时目录。如果同时存在以下两种情况，则共享临时目录是有危险性的：(1) 两个帐户有不同的安全特权；(2) 具有较高特权的帐户运行一个使用 XmlSerializer 的应用程序。在这种情况下，某一用户可以替换所编译的 .cs 或 .dll 文件，由此破坏计算机的安全性。为了避免发生这一问题，请始终确保计算机上的每一帐户都有自己的配置文件。如果能够保证这一点的话，默认情况下，TEMP 环境变量就会为不同的帐户指定不同的目录。