原型链污染
原型链污染-前置内容:对象的构造三种方法和原型
对类原型操作的prototype
对对象的类原型操作的__proto__
function Foo() {
this.name = '小红'
}
Foo.prototype.id = 123
Foo.prototype.printl = function printl() {
console.log(this.bar)
}
let foo = new Foo()
foo.printl()
console.log(foo.__proto__)
原型链污染-前置内容:原型链的继承
function Father() {
this.xing = '张'
this.ming = '三'
}
function Son() {
this.ming = '四'
}
Son.prototype = new Father()
let son = new Son()
console.log(`Name: ${son.xing}${son.ming}`)
原型链污染原理
通过Object对象生成的foo的__proto__我们可以访问到Object的原型,借此对Object原型进行修改,将影响到全部声明的数组。
// foo是一个简单的JavaScript对象
let foo = {bar: 1}
let foo2 = {}
// foo.bar 此时为1
console.log(foo.bar) // 1
// 修改foo的原型(即Object)
foo.__proto__.bar = 2
// 原型发生了改变,但是已生成的对象如果手动声明了该值,会以手动声明的为准,当中的值不发生改变;但如果未声明该值则以原型当中的为准
console.log(foo.__proto__,foo.bar,foo2.bar) // [Object: null prototype] { bar: 2 } 1 2
// 由于查找顺序的原因,foo.bar仍然是1
console.log(foo.bar) // 1
// 此时再用Object创建一个空的zoo对象
let zoo = {}
// 查看zoo.bar
console.log(zoo.bar) // 2
我们需要通过对foo这类对象的__proto__进行操作以完成对原型链的污染,以污染该对象所对应的类,最终影响该类下所有相关对象(包括继承该类的类的对象)。
原型链污染手段
入门示例
在JSON解析的情况下,__proto__会被认为是一个真正的“键名”。
但要求该输入未解析,解析后__proto__当中的内容会进入到对象当中,成为独立的键,如 'b':'2',而不是__proto__的形式。
function merge(target, source) {
for (let key in source) {
if (key in source && key in target) {
merge(target[key], source[key])
} else {
target[key] = source[key]
}
}
}
let object1 = {}
let object2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(object1, object2)
console.log(object1.a, object1.b)
object3 = {}
console.log(object3.b)
输出
1 2
2
874
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
