闭包的漏洞

已于 2023-08-15 09:20:31 修改
阅读量93 收藏 3
点赞数
文章标签: html5 css3 javascript 前端
于 2023-08-15 09:15:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48602044/article/details/132289480
版权

闭包的漏洞

1. 闭包的定义

  • 闭包就是能够读取其他函数内部变量的函数。在JavaScript中,只有函数内部的子函数才能读取局部变量,所以闭包可以理解成“定义在一个函数内部的函数“。本质上,闭包是将函数内部和函数外部连接起来的桥梁。

2. 构成闭包的条件

  1. 在函数A内部直接或间接返回一个函数B
  2. 函数B内部使用函数A的私有变量
  3. 函数A外部有一个变量接收函数B

下面是一个典型的闭包场景

function a(){
    var num = 100
    return (function b(){
        console.log(num);
    })()
}
a() // 100

3. 闭包的漏洞

  • 定义:在不改变闭包的情况下修改闭包里面的私有变量

下面是一个闭包漏洞的例子

 var o = (function (){
   var obj = {
       a: 1,
       b: 2,
   }
   return{
       get: function(k){
           return obj[k]
       }
   }
})()

下面是闭包漏洞的实现方法

// 在全局Object对象中添加add属性,返回的是this
// 作用是返回当前调用Object对象原型链add属性的对象
Object.defineProperty(Object.prototype, 'add', {
  get(){
    return this
  }
})
console.log(o.get('add')); // { a: 1, b: 2 }
// o.get('add')即可获取obj对象
// 原理是obj对象读取Object对象原型链上的add属性
o.get('add').a = '海绵宝宝' // 修改obj对象的a属性
// 验证a属性被修改成功
console.log(o.get('a')); // 派大星

4. 闭包的漏洞防止方法

4.1 判断法

var o = (function (){
  var obj = {
    a: 1,
    b: 2,
  }
  return{
    get: function(k){
      // 判断obj对象是否有属于它对应的属性
      if(obj.hasOwnProperty(k)){ 
        return obj[k]
      }
      // 不是obj对象本身的属性就返回undefined
      return undefined
    }
  }
})()

4.2 置空法

var o = (function (){
  var obj = {
    a: 1,
    b: 2,
  }
  // 把obj对象在Object原型链上置为null
  Object.setPrototypeOf(obj, null)
  return{
    get: function(k){
        return obj[k]
    }
  }
})()
伍嘉源
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
quick-selector:一个简单的javascript选择器,例如Google闭包
04-28
但是我又需要选择器去规避不同浏览器的兼容漏洞引入还是不引入jQuery,这是个问题所以我花了一些时间,写了一个自己的lib,它是一个简单的选择器,它有以下特点:选择器少(只有id选择器),给需求明确的人,给非常...
脚本:我开发的所有Lua脚本,包括漏洞利用脚本(请仅将其用于教育目的)
02-28
- 函数:Lua支持匿名函数和闭包,函数是第一类公民,可以作为参数传递,也可以作为返回值。 - 语法:Lua的语法简洁明了,如`print("Hello, World!")`用于输出文本。 2. Lua在漏洞利用中的角色 - 漏洞探测:Lua...
闭包的一个漏洞
francesyan9的博客
11-06 290
这是一个典型的闭包场景,目的是为了避免obj受到全局污染,保护函数的内部变量不受外部的干扰,形成一个不销毁的内存,从而保护了对象的完整。通过get方法可以访问到obj的全部属性,除了它的自有属性,还有它所继承的原型对象上的属性和方法。方法2:如果obj不需要使用到原型上的任何东西,可以直接将原型对象设为空。是否可以通过调用原型对象上的valueOf方法来获取到obj对象本身?所以obj调用valueOf的话,返回的也应该是obj这个对象本身。方法1:在函数内进行验证,判断传入的参数是否为obj本身的属性。
javascript解决闭包漏洞的一个问题
阿牛哥的博客
11-01 1260
javascript解决闭包漏洞的一个问题
JS高级:闭包的联系题目
weixin_47295886的博客
11-08 83
相当于直接执行函数,则函数对象是window。这里的that是obj2。 闭包输出的是什么; 注意闭包产生的条件
JS基础面试题02--预解析与作用域
NoManCodes的博客
06-06 459
面试本没有坑,要饭的人多了,也就有了坑。 第一题 function a(b){ console.log(b); var b =1; } a(100) 执行结果为100。 函数内部的var定义的变量会预解析提升到当前作用域的最顶端。所以预解析后如下: function a(b){ var b; console.log(b); b =1; } a(100) 提升后b默认的值是undefined,但由于函数有接收一个形参b=100,所以打印时b的值已经是100了。 第二题 functi.
JavaScript(七)-函数
apple_51274791的博客
10-06 140
一、命名函数 function abc(){ 命名函数 } 定义在函数中的内容,不会自动执行; 函数 将代码变成语句块的形式,通过调用函数名,可以完成该语句块所有语句; 函数命名 1.函数名称,除了构造函数外,其他的函数名称必须小写字母开始,数字字母下滑线组成,驼峰式命名 2.和变量名相同 3.函数后面()指函数的进入函数时带入参数,参数就相当于变量,数量和名字可以自己定义 4.函数的后面{}里面是正式函数内的所有语句块,当执行函数时,就会执行{}中内容 function abc(参数){
webpack-no-bower
05-21
Webpack中的供应商Shimming演示jQuery是由CDN提供的,但是当看到jQuery被使用时,webpack会自动使闭包传递$ 。 控制台的填充工具,json3,ES5,垫片,以及jQuery的饼干都require d,为所有捆绑提供当webpack在dist/...
underscore-analysis, underscore-1.8.3.js 源码解读 & 系列文章(完 ).zip
10-10
源码解读的过程中,会发现underscore.js大量使用了闭包、函数表达式、立即执行函数(IIFE)等JavaScript高级特性,这些对于提升JavaScript编程技巧至关重要。例如,它使用IIFE来封装库,防止全局变量污染,同时也实现...
codeblockz:我的练习代码和 POC
06-16
随着技能的提升,开发者会涉及更高级的主题,如异步编程(回调函数、Promise、async/await)、模块化(CommonJS、ES6模块)、闭包、原型链等。此外,JavaScript还有许多流行的库和框架,如React、Vue、Angular,用于...
JavaSE笔记15.16-IO流-字符编码
qq_38503984的博客
09-12 250
JavaSE笔记15.16-IO流-字符编码1. 字符编码解码(1)通过转换流(2)通过字符串对象2. 常见的编码表3. 例子(1)通过转换流(2)通过字符串对象 1. 字符编码解码 (1)通过转换流 通过转换流InputStreamReader和OutputStreamWriter来完成,在两个对象进行构造时可加入字符集。 //创建使用给定字符集的InpuStreamReader InputStreamReader(InputStream in,Charset cs); //创建使用给定字符集的Outpu
JS中Object.create()的使用与实现
SCUhzs
09-17 2299
文章目录参数返回值异常用法用 `Object.create`实现类式继承使用 `Object.create` 的 `propertyObject`参数实现参考资料 参数 object.create方法有两个参数 proto 必须的 是新建对象的原型对象 propertiesObject 可选的 如果没有指定为 undefined,则是要添加到新创建对象的不可枚举(默认)属性(即其自身定义的属性,而不是其原型链上的枚举属性)对象的属性描述符以及相应的属性名称。这些属性对应Object.defin
【黑马程序员西安中心】JS 面试题及解答(二)
qq_39581763的博客
06-08 513
16、如果数组列表太大,以下递归代码将导致堆栈溢出。你如何解决这个问题,仍然保留递归模式?var list = readHugeList();var nextListItem = function() {    var item = list.pop();    if (item) {        // process the list item...        nextListItem()...
什么是闭包闭包造成的内存泄露如何解决
热门推荐
yiyueqinghui的博客
07-18 2万+
什么是闭包? 能够访问其他函数内部变量的函数 闭包解决了什么问题 由于变量的作用域的原因-----(函数内部能读取全局变量,函数外部无法读取函数内部的变量【局部变量】),为了在函数外部读取局部变量,所以就有了闭包闭包的作用 1.访问其他函数内部变量 2.保护变量不被内存回收机制回收 3.避免全局变量被污染 方便调用上下文的局部变量 加强封装性 闭包的缺点 闭包长期占用内存,内存消耗很大,可能导...
JS学习笔记——JavaScript中this的指向问题(包含js中所有情况)
MRlaochen的博客
08-15 416
在js中有一个东西一直折磨的我头疼,终于下定决心好好总结一波this的各种情况。 普通函数中的this console.log(this);//window function fn(){ console.log(this); } fn(); //window ES5中非严格模式,普通代码全局中的this和函数中的this都指向window; ES6中严格模式,全局中this仍然指向window,函数中this
一个典型的闭包导致的内存泄露,jquery轻松解决
aq23es的博客
10-28 4331
声明:以下内容来自《jQuery基础教程》 第四版,人民邮电出版社。附录A 作者:[美] Jonathan Chaffer Karl Swedberg 翻译:李松峰 觉得该内容很好,可以购买。 旧版本IE中存在一种难以处理的引用循环问题。当一个循环中同时包含DOM元素和 常规JavaScript对象时,IE无法释放任何一个对象——因为这两类对象是由不同的内存管理程序负 责管理的。换句话
HTML5使用<pre>标签:保留原始排版方式
pan_junbiao的博客
07-06 73
在网页创作中,一般是通过各种标记对文字进行排版的。但是在实际应用中,往往需要一些特殊的排版效果,这样使用标记控制起来会比较麻烦。解决的方法就是保留文本格式的排版效果,如空格、制表符等。如果要保留原始的文本排版效果,则需要使用。使用<pre>标签保留原始排版方式。
HTML5五十六个民族网站模板源码
xcLeigh
06-26 1313
HTML5五十六个民族网站模板源码,民族网站模板源码,源码设计灵感来源于大作业,课设的民族介绍,这里以高山族网站为列,用登录、注册、首页、中国民族、关于高山族、联系我们等6个页面介绍了中国民族高山族。里面使用了轮播图、动画、表格、电梯导航、多媒体、视频、表单、单选/多选/全选、导航菜单、下拉框、CSS、JS等技术点。这个可用于五十六个民族任意一个民族的介绍网站模板,功能点多,可以部分使用,也可以全部使用,各种风格都有,代码上手简单,代码独立,可以直接使用。也可直接预览效果。
HTML5使用<mark>标签:高亮显示文本
最新发布
pan_junbiao的博客
07-06 145
mark 标签用于表示页面中需要突出显示或高亮的一段文本,这段文本对于当前用户具有参考作用。它通常在引用原文以引起读者注意时使用。<mark>标签的作用相当于使用一支荧光笔在打印的纸张上标出一些文字。它与强调不同,对于强调,我们使用<em>标签。但是如果有一些已有的文本,并且想要让文本中没有强调的内容处于显眼的位置,可以使用<mark>标签并将其样式化为斜体等。在页面中高亮显示关键字。
闭包
06-01
闭包(Closure)是指在函数内部创建的函数,它可以访问到函数外部的变量和参数,并将这些变量和参数保存在自己的作用域中。换句话说,闭包是一种特殊的函数对象,它可以访问到在其外部作用域中定义的变量和函数。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

伍嘉源

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值