什么是原型污染?如何防止原型污染?
在 JavaScript 中,原型污染(Prototype Pollution) 是一种通过修改对象的原型链,向所有继承该原型的对象注入或覆盖属性的安全漏洞。这种操作可能导致代码行为异常、数据篡改甚至远程代码执行(RCE)等风险。
原型污染的原理
JavaScript 的原型链继承机制允许对象通过 __proto__(或 Object.getPrototypeOf())访问原型对象。如果攻击者能修改原型对象的属性(如 Object.prototype),所有继承该原型的对象都会继承这些修改。
示例:原型污染的产生
// 直接修改 Object.prototype
Object.prototype.isAdmin = true;const obj = {};
console.log(obj.isAdmin); // true(原型链被污染)
如何防止原型污染?
1. 避免直接操作 __proto__ 或原型
- 关键点:禁止外部数据直接修改对象的原型链。
- 代码示例:
// 安全做法:避免动态设置 __proto__ function safeMerge(target, source) {for (const key in source) {if (key === '__proto__' || key === 'constructor') {continue; // 忽略敏感属性}target[key] = source[key];} }
2. 使用 Object.create(null) 创建无原型对象
- 关键点:创建的对象不继承
Object.prototype,天然免疫原型污染。 - 代码示例:
const safeObj = Object.create(null); // 无原型链 safeObj.name = "Safe"; console.log(safeObj.toString); // undefined(无法访问 Object.prototype 的方法)
3. 冻结原型对象
- 关键点:使用
Object.freeze()禁止修改原型。 - 代码示例:
// 冻结 Object.prototype Object.freeze(Object.prototype);// 尝试污染原型会失败(严格模式下报错) Object.prototype.isAdmin = true; console.log(Object.prototype.isAdmin); // undefined
4. 安全处理对象合并操作
- 关键点:在合并对象属性时,过滤敏感键(如
__proto__、constructor、prototype)。 - 代码示例:
function safeAssign(target, source) {Object.keys(source).forEach(key => {if (key in Object.prototype) return; // 忽略原型上的键target[key] = source[key];}); }
5. 使用 Map 替代普通对象
- 关键点:
Map的键可以是任意类型,且不会继承原型链属性。 - 代码示例:
const map = new Map(); map.set("isAdmin", true); console.log(map.get("isAdmin")); // true console.log(map.isAdmin); // undefined(无法通过原型链污染)
6. 使用安全的第三方库
- 关键点:避免手写不安全的对象操作,选择经过安全审计的库(如 Lodash 的
_.merge默认过滤原型键)。 - 代码示例:
const _ = require('lodash'); const safeObj = _.merge({}, maliciousPayload); // 自动忽略 __proto__
7. 启用严格模式(Strict Mode)
- 关键点:严格模式下,修改只读属性(如冻结后的原型)会抛出错误。
- 代码示例:
'use strict'; Object.prototype.isAdmin = true; // 报错:Cannot add property isAdmin
原型污染的常见攻击场景
- 解析不安全的 JSON 数据:
const data = JSON.parse('{ "__proto__": { "isAdmin": true } }'); // 可能污染原型链 - 用户输入合并到对象:
如 HTTP 请求参数、表单数据等未经验证直接合并到对象中。 - 第三方库漏洞:
未正确处理用户输入的库可能成为污染入口。
总结
| 防御方法 | 适用场景 | 优点 |
|---|---|---|
| 过滤敏感键 | 对象合并、深拷贝 | 直接阻断污染路径 |
使用 Object.create(null) | 高频操作或敏感数据存储 | 彻底免疫原型链污染 |
| 冻结原型 | 全局防护 | 防止所有原型修改 |
使用 Map | 键值对存储 | 无原型链,天然安全 |
核心原则:
- 永远不要信任外部输入,始终验证和清理数据。
- 最小化原型操作,优先使用无原型对象或安全数据结构。