JS原型链污染
JS原型链污染
参考
什么是原型
JavaScript 常被描述为一种基于原型的语言 (prototype-based language)——每个对象拥有一个原型对象(prototype),对象以其原型为模板,从原型继承方法和属性。原型对象也可能拥有原型,并从中继承方法和属性,一层一层、以此类推。这种关系常被称为原型链 (prototype chain)。
例如下面这段代码:
var a = 1
console.log(a.__proto__)
console.log(a.__proto__.__proto__)
console.log(a.__proto__.__proto__.__proto__)
通过object.__proto__即可查看对象的原型,直到原型为 null(null 作为原型链中的最后一环,其没有原型)。
原型中一条重要的机制就是继承,对象可以继承原型的属性及方法
通过执行以下代码,即可给原型添加属性、方法
a.__proto__.name = "1ndex"
a.__proto__.alert = function(){console.log(this.name)}
a.__proto__.__proto__.age = 18
然后 a 即可继承原型的属性、方法:
a.name
a.alert()
a.age
通过修改原型的属性、方法,可以影响到其他以同一原型构造的对象
b = 1
b.name
当程序代码导致攻击者可以设置对象的__proto__属性时,也就造成了原型链污染
常见case示例
function merge(target, source){
for(let key in source){
if (key in source && key in target) {
merge(target[key], source[key])
} else {
target[key] = source[key]
}
}
}
let o1 = {}
let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(o1, o2)
console.log(o1.a, o1.b)//1,2
o3 = {}
console.log(o3.b)
至于此处为什么需要使用
JSON.parse,是因为以let o2 = {"a":1,"__proto__":{"b":2}}实际生成了__proto__为{"b":2}的对象 o2,而在 for 循环中,并不会循环该属性,只有通过JSON.parse处理字符串得到的对象才能使用 for 循环得到__proto__
