Сериализатор Jackson, кажется, имеет потенциальную проблему с использованием гаджета в определенных условиях, как описано в этом блоге . Одним из способов понять эту проблему является то, что, поскольку Джексон является сериализатором времени выполнения, у него есть свободные концы, которые можно использовать при десериализации данных в java .lang.Object, java .io.Serializable, java .util. Сравнимо и др. c.
Итак, можно ли сказать, что сериализаторы stati c, такие как Borer , не будут иметь таких свободных концов, так как вам нужно decoders моделей во время компиляции?