原型污染是JavaScript中因不安全的对象合并或属性赋值导致的安全问题,攻击者通过构造__proto__等特殊键名篡改Object.prototype,影响所有对象行为。防范措施包括:避免递归合并用户输入,使用安全版本的库(如lodash>=4.17.21),优先采用Object.assign()进行浅拷贝,使用Object.create(null)创建无原型对象以杜绝污染可能,对动态属性名进行白名单校验或类型检查,禁用constructor、prototype等敏感键名,结合Object.defineProperty锁定关键属性,并遵循最小权限原则,避免执行用户输入的代码。同时启用CSP可降低后续攻击风险。核心在于控制属性写入路径,确保不可信数据无法影响对象结构,尤其在深拷贝、配置解析等场景中更需谨慎。
原型污染是JavaScript中一个容易被忽视但危害较大的安全问题,主要出现在处理对象递归合并、属性赋值等操作时,攻击者通过构造特殊输入篡改Object.prototype,进而影响所有对象的行为。防范的关键在于避免对用户可控的属性路径进行不安全的操作。
避免递归合并用户输入
许多库(如lodash)曾因深拷贝或合并对象时未校验属性路径而出现原型污染漏洞。如果你需要实现对象合并或深拷贝,注意不要盲目遍历并设置属性,尤其是当键名为 __proto__、constructor 或 prototype 时。
手动实现深拷贝时,跳过这些敏感键名 使用安全的库版本(例如 lodash >=4.17.21 已修复相关问题) 考虑使用 Object.assign() 进行浅拷贝,它不会递归处理嵌套对象,相对更安全
使用 Object.create(null) 创建无原型对象
当你需要一个纯粹的“字典”对象来存储键值对时,使用 Object.create(null) 可以避免其继承 Object.prototype,从根本上防止原型链被污染。
这类对象没有 toString、hasOwnProperty 等默认方法,需注意使用方式 适合用于配置缓存、映射表等场景
对属性操作进行白名单或类型校验
在动态设置对象属性时,特别是属性名来自用户输入(如JSON配置、URL参数),应进行严格校验。
立即学习“Java免费学习笔记(深入)”;
限制属性名不能为 __proto__、constructor、prototype 优先使用白名单机制,只允许特定字段被修改 使用 Object.defineProperty 并设置 configurable: false 来锁定关键属性
启用CSP与最小权限原则
虽然内容安全策略(CSP)不能直接阻止原型污染,但它能降低后续攻击的危害,比如阻止恶意脚本执行。同时遵循最小权限原则,避免在高权限上下文中运行不可信代码。
服务端避免使用 eval、new Function 执行用户输入 前端组件接收配置时做结构校验基本上就这些。核心是:别让不可信数据控制对象的属性写入路径,尤其是涉及深层操作时。保持依赖更新,使用现代安全实践,能有效规避大多数风险。
以上就是JavaScript中的原型污染(Prototype Pollution)如何防范?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1524351.html
微信扫一扫 
支付宝扫一扫 
