JS原型链污染学习笔记

已于 2024-09-25 19:28:54 修改
阅读量608 收藏 8
点赞数 25
文章标签: 学习 笔记
于 2024-09-25 19:28:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LylTNT_/article/details/142530023
版权

网安小白在学习原型链污染时一头雾水,参考了大佬们的文章,在这里记录一下学习笔记,方便日后复习,若有错误还请指正

 JS中的对象(Object)是一种复合数据类型,它是一种无序的键值对集合。对象用于存储和传递多个值,每个值都有一个键(key)与之关联。

几种常见的对象的创建方式

第一种: 对象字面量方式
var obj1 = {
  name: "Jack",
  age: 26,
}
 
 
第二种: Object构造函数模式
var obj2 = new Object()
obj2.name = "Jack"
obj2.age = 26 
 
 
第三种: 构造函数模式
function Test(name, age){
    this.name = name
    this.age = age
    this.say = function(){
        console.log('我能说话')
    }
}
var obj3 = new Test('Jack', 26)
var obj4 = new Test('Rose', 25)


 

1.__proto__

__proto__ 是每个对象在被创建时都有的一个属性,它指向该对象的原型(即构造函数的 prototype 属性 XX.prototype)通过 __proto__,JavaScript 实现了原型链,当访问一个对象的属性时,如果该对象没有这个属性,就会沿着原型链向上查找,直到找到该属性或到达原型链的顶端(null

let obj = {};
console.log(obj.__proto__ === Object.prototype); // true

2.prototype

prototype 是每一个对象(包括函数)所拥有的属性,它指向另一个对象,这个对象被称为原型对象,即xx.prototype,用来实例共享的属性和方法。每个函数在创建时都会自动获得一个 prototype 属性。

function Person(name) {
    this.name = name;
}

Person.prototype.sayHello = function() {
    console.log(`Hello, my name is ${this.name}`);
};

let alice = new Person('Alice');
alice.sayHello(); // 输出:Hello, my name is Alice

上面的例子中,Person.prototype原型对象包含了sayHello方法,所有由 Person 构造函数创建的实例都可以访问这个方法。

原型对象有一个constructor属性指向构造函数本身

Test.prototype.constructor === Test
// true

原型对象是一个普通的对象,它包含属性和方法。如上面的sayHello方法

原型对象的属性和方法会被继承到所有通过原型链与它相连的对象。

把方法写在原型对象上的好处是,所有实例在被创建出时便可使用次方法,而不用写到构造函数中占用内存

3.constructor

constructor(构造), 是每个对象都有的一个属性,它指向创建该对象的构造函数。通过 constructor 属性,我们可以知道某个对象是由哪个构造函数创建的。

console.log(alice.constructor === Person); //true

 原型链污染

定义:如果攻击者控制并修改了一个对象的原型,那将可以影响所有和这个对象来自同一个类、父类的对象,这种攻击方式就是原型链污染

function merge (target,source) {
    for(let key in source) {
        if(key in source && key in target){
            merge(target[key],source[key]);
        }else{
            target[key] = source[key];
        }
    }
}

merge操作是最常见的可以控制键名的操作,也最能被原型链攻击。在合并过程中,复制操作的key如果为__proto__,便可能发生原型链污染

运行如下代码

function merge (target,source) {
    for(let key in source) {
        if(key in source && key in target){
            merge(target[key],source[key]);
        }else{
            target[key] = source[key];
        }
    }
}
let o1 = {};
let o2 = {a:1,"__proto__":{b:2}};
merge(o1,o2);
console.log(o1.a,o1.b);//1 2

console.log(o1.__proto__ == o2.__proto__)//false

console.log(o1)//{ a: 1, b: 2 }
console.log(o2)//{ a: 1 }

o3 = {};
console.log(o1.__proto__ == o3.__proto__)//true

console.log(o2.__proto__)//{ b: 2 }
console.log(o3.b);//undefined

分析:当对o1,o2进行merge操作:merge(o1,o2)时,console.log(o1.a,o1.b)均有值1,2,这是否说明o1.__proto__已经被污染了呢?当我们创建o3对象时,console.log(o3.b)为undefined,说明并未发生原型链污染。o1.b之所以等于2,是因为在merge过程中,键__proto__虽然存在于o2中,但merge函数并没有对这个键进行特殊处理,它直接将source[key](即o2["__proto__"])的值{b:2}赋值给了o1,没有为o1添加一个新的__proto__键,所以最终得到了一个b属性。

运行如下代码

function merge (target,source) {
    for(let key in source) {
        if(key in source && key in target){
            merge(target[key],source[key]);
        }else{
            target[key] = source[key];
        }
    }
}
let o1 = {};
let o2 = JSON.parse('{"a":1,"__proto__":{"b":2}}');
merge(o1,o2);
console.log(o1.a,o2.b);// 1 2
 
o3 = {};
console.log(o3.b);// 2

分析:在进行JSON解析的情况,merge函数进行合并的过程中,o2的__proto__将作为"键名"而不作为特殊属性被merge函数把o2的 __proto__ 属性被合并到 o1 中。产生原型链污染,

但是此时o1__proto__不等于o2__proto__,因为它们只是内容相同,而属于不同的对象实例。o1__proto__ 等于o3__proto__

大林呀林
关注
JavaScript-学习笔记.docx
09-08
这篇学习笔记主要涉及了JavaScript的基础概念和一些高级特性,包括预编译、作用域、函数、对象原型、原型链、函数调用方式(如call、apply)、继承模式、对象克隆、数组操作、自定义类型判断以及错误处理机制。...
JavaScript学习笔记
06-16
在JavaScript的世界里,还有许多其他精彩的内容,比如原型链、类与继承、模块系统(CommonJS、ES6模块)、Ajax和Fetch API用于前后端通信,以及最近热门的框架和库,如React、Vue、Angular等。JavaScript的学习是一...
《javascript设计模式》学习笔记二:Javascript面向对象程序设计继承用法分析
10-15
JavaScript是一种动态类型的语言,特别适合用于构建复杂的Web应用程序。在面向对象编程中,继承是核心概念之一,允许创建新的类(或...同时,掌握如何避免可能出现的问题,如原型链污染、性能影响等,也是至关重要的。
Javascript 读书笔记索引贴
10-29
7. **原型链的原理**:当试图访问对象的一个属性时,JavaScript会沿着原型链向上查找,直到找到该属性或者到达原型链的末尾(即null)。 **二、实战篇** 8. **用JSON做原型**:JSON(JavaScript Object Notation)...
Go基础学习08-并发安全型类型-通道(chan)深入研究
FLJS_T的博客
09-28 908
在前面学习中了解到对于单值变量,如:int、string;多值变量,如:map存在多协程对资源竞争的并发问题,为了解决并发性通常需要引入sync.Mutex解决。>对于通道的基本声明方式有三种:声明并初始化带缓冲的通道(ch1);声明并初始化一个不带缓冲的通道(ch2);仅仅声明一个通道(ch3) >什么是通道:==一个通道相当于一个先进先出(FIFO)的队列。也就是说,通道中的各个元素值都是严格地按照发送的顺序排列的,先被发送通道的元素值一定会先被接收。Select和for循环实现对channel的多次选
10.2学习
2401_87363162的博客
10-02 1121
​ Spring AOP就是基于动态代理的,如果要代理的对象,实现了某个接⼝,那么Spring AOP会使⽤JDKProxy,去创建代理对象,⽽对于没有实现接⼝的对象,就⽆法使⽤ JDK Proxy 去进⾏代理了,这时候Spring AOP会使⽤基于asm框架字节流的Cglib动态代理 ,这时候Spring AOP会使⽤ Cglib ⽣成⼀个被代理对象的⼦类来作为代理。每个线程中都有一个自己的ThreadLocalMap类对象,可以将线程自己的对象保持到其中,各管各的,线程可以正确的访问到自己的对象。
从0学习React(3)
qq_54432917的博客
09-29 746
在第一篇文章中,我们对index.tsx文件的每一行代码都做了简单的分析。通过第一篇文章的总结,我也大致知道了index.tsx里的很多语法。而第二篇文章,我对index.tsx文件的框架做了一个大致的分析,通过第二篇文章,我对index.tsx有了进一步的认识。按理来讲,第三篇文章我还是解析index.tsx文件,但是我发现,对于前两篇文章,其实我对语法的细节有很多不明白的点。因此这篇文章,我就把React的一些最基础的知识给梳理一下,帮助我更好的理解index.tsx的代码。
Go基础学习10-原子并发包sync.atomic的使用:CSA、Swap、atomic.Value......
FLJS_T的博客
10-02 880
原子操作sync.atomic以及原子变量atomic.Value详细介绍。go中原生的支持原子操作的函数支持的变量类型int32、int64、uint32、uint64、uintptr,以及unsafe包中的Pointer。对于上述原子操作类型中的每一个,可以支持的数据类型有:==int32、int64、uint32、uint64、uintptr,以及unsafe包中的Pointer。但是否sync.Mutex变量能够保证操作的原子性。atomic.Value类型是开箱即用的,我们声明一个该类型的变量
Redis SpringBoot项目学习
最新发布
Jay_fearless的博客
10-06 253
redis+springboot实战项目
6.824 Lab 2C 学习记录
kingsill的博客
09-29 315
最后10s,开始的时候,恢复网络,插入一个数据,等待这个数据被提交,如果超过这10s就报错。2C的test中的unreliable figure8算是给博主的迎头一棒,需要根据raft论文的figure8进行解决,leader。根据前任及博主自己的经验,unreliable figure8的除了上述这一点以外,需要对。博主由于之前的不严谨,给自己留下了很大的改进困难,最后不得不重构代码。进行一定的设计,可以参考课程里老师提出的意见。一下为博主的github仓库,需要的可以参考。有一定的考验,那么就需要对。
【DirectX sdk 学习使用】
qq_41610493的博客
10-01 362
设置包含目录:打开你的项目属性,导航到VC++目录,然后在包含目录中添加DirectX SDK的Include文件夹路径。设置库目录:同样在VC++目录中,在库目录中添加DirectX SDK的Lib文件夹路径。运行安装程序:下载完成后,找到下载的安装程序(通常是一个.exe文件),双击运行。选择安装路径:选择你希望安装DirectX SDK的路径,或者使用默认路径。如果你有任何问题或需要进一步的指导,请随时告诉我。接受许可协议:在安装向导中,阅读并接受许可协议。完成安装:点击“安装”按钮,等待安装完成。
Elasticsearch学习笔记(2)
m0_74293254的博客
09-28 1246
创建索引: 使用 PUT 请求来定义索引及其映射。创建文档: 使用 POST 请求将数据添加到索引。读取文档: 使用 GET 请求获取特定文档。更新文档: 使用 POST 加上 _update 操作来修改现有文档。删除文档: 使用 DELETE 请求删除指定文档。删除索引: 使用 DELETE 请求删除整个索引。请求方式:POST请求格式:/{索引库名}/_doc/文档id示例:POST /my_index/_doc/1 { "field": "value" }
纯软件小白 学习DDR5
hello_new_life的博客
09-29 967
读写 driver前添加一个128位的临时存储位置“Burst Buffer”,我们用128条导线连接到128位缓冲区位置,接下来10位列地址被分成两部分,6bit用于多路复用器,4bit用于突发缓冲器。
项目-坦克大战学习笔记-地图完善
2401_84659046的博客
10-01 519
/在30,30的位置创造竖着的五个墙体,传入(位置,数量,储存对象信息的列表)//在30,30的位置创造竖着的五个墙体,传入(位置,数量,储存对象信息的列表)private static void boos(int x,int y, Image img,Listlist)//放置boos专用方法。//创建一个列表放置铁块。foreach (gudin n in booslist)//遍历boos列表。foreach (gudin n in walllist)//遍历墙体列表。
学习笔记 | Golang基础,Go语言快速入门!
字节幺零二四的博客
09-28 1066
本文将介绍 Go 语言的基础语法,包括环境配置、数据类型、流程控制、函数、结构体、接口、异常、文本处理、并发编程、网络编程等。
服务器虚拟化的详细学习要点
2401_87352036的博客
10-05 518
以上内容仅供参考,学习服务器虚拟化涉及的技术和工具时,请确保从可靠的来源获取最新信息,并根据实际情况进行调整和应用。优势:掌握服务器虚拟化在提高资源利用率、增强灵活性和可扩展性、简化管理、提高安全性、支持高可用性等方面的优势。技术融合:了解服务器虚拟化将与存储虚拟化、网络虚拟化等技术深度融合,形成一体化的虚拟化解决方案。虚拟化层次:理解虚拟化的不同层次,如裸机虚拟化(Type 1)和托管虚拟化(Type 2)。虚拟机(VM):了解虚拟机是服务器虚拟化的基本单元,包含独立的操作系统、应用程序和资源配置。
软件测试理论的详细学习要点和学习方向
2401_87352036的博客
09-30 395
软件测试理论的详细学习要点和学习方向可以从多个方面来探讨。
python全栈学习记录(二十二)多态性、封装、绑定方法与非绑定方法
m0_45491627的博客
10-04 479
非绑定方法:类中定义的函数如果被装饰器@staticmethod装饰,那么该函数就变成非绑定方法,既不与类绑定,又不与对象绑定,意味着类与对象都可以来调用,但是无论谁来调用,都没有任何自动传值的效果,就是一个普通函数。python本身也是支持多态性的,len函数就是对多种容器类型封装的接口函数,所以使用len函数时只需要将容器的实例传入就可以得到容器的长度值。精髓在于:隔离了复杂度。由上面的例子我们可以知道多态性的本质就是在不同的类型中定义相同的方法,这样就可以不考虑具体的类型直接调用统一的方法了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值