許可リストと拒否リストは、パターン・ベースのフィルタまたはカスタム・フィルタを使用して実装できます。これらのリストを使用すると、アプリケーションを保護するためにプロアクティブな防御的アプローチを実行できます。

プロアクティブなアプローチでは、許可リストを使用して、認識および信頼されているクラス名のみを許可し、他のすべてのクラス名を拒否します。アプリケーションを開発する際にコードに許可リストを実装するか、後でパターン・ベースのフィルタを定義して実装できます。アプリケーションで小規模なクラスのセットのみが処理される場合、このアプローチは十分に機能します。許可されたクラス、パッケージまたはモジュールの名前を指定して、許可リストを実装できます。

防御的なアプローチでは、拒否リストを使用して、信頼できないクラスのインスタンスを拒否します。通常、拒否リストは、クラスが問題であることを示す攻撃の後に実装されます。jdk.serialFilterプロパティで指定されているパターン・ベースのフィルタに追加することにより、コードを変更しないで、拒否リストにクラス名を追加できます。