Есть ли способ полностью отключить десериализацию Java?
Десериализация Java, как в java.io.ObjectInputStream, потенциально открывает приложение для проблем безопасности путем десериализации так называемых гаджетов сериализации.
Я не использую сериализацию Java специально, но трудно убедиться, что никакая библиотека, которой доверяют некоторые внешние входные данные, никогда не выполнит десериализацию. По этой причине я хотел бы, чтобы какой-то переключатель kill полностью отключил сериализацию.
Это отличается от проблем с кэшированием - я хочу убедиться, что в моем приложении не десериализован ни один объект, в том числе с помощью библиотек.