[JavaScript知识库][WEB/Nodejs]Nodejs原型链污染初窥

原型链污染

原型链污染-前置内容：对象的构造三种方法和原型

对类原型操作的prototype

对对象的类原型操作的__proto__

function Foo() {
    this.name = '小红'
}
Foo.prototype.id = 123
Foo.prototype.printl = function printl() {
    console.log(this.bar)
}

let foo = new Foo()
foo.printl()
console.log(foo.__proto__)

原型链污染-前置内容：原型链的继承

function Father() {
	this.xing = '张'
	this.ming = '三'
}
function Son() {
	this.ming = '四'
}
Son.prototype = new Father()
let son = new Son()
console.log(`Name: ${son.xing}${son.ming}`)

原型链污染原理

通过Object对象生成的foo的__proto__我们可以访问到Object的原型，借此对Object原型进行修改，将影响到全部声明的数组。

// foo是一个简单的JavaScript对象
let foo = {bar: 1}
let foo2 = {}
// foo.bar 此时为1
console.log(foo.bar)                                // 1
// 修改foo的原型（即Object）
foo.__proto__.bar = 2
// 原型发生了改变，但是已生成的对象如果手动声明了该值，会以手动声明的为准，当中的值不发生改变；但如果未声明该值则以原型当中的为准
console.log(foo.__proto__,foo.bar,foo2.bar)         // [Object: null prototype] { bar: 2 } 1 2
// 由于查找顺序的原因，foo.bar仍然是1
console.log(foo.bar)                                // 1
// 此时再用Object创建一个空的zoo对象
let zoo = {}
// 查看zoo.bar
console.log(zoo.bar)                                // 2

我们需要通过对foo这类对象的__proto__进行操作以完成对原型链的污染，以污染该对象所对应的类，最终影响该类下所有相关对象（包括继承该类的类的对象）。

原型链污染手段

入门示例

在JSON解析的情况下，__proto__会被认为是一个真正的“键名”。

但要求该输入未解析，解析后__proto__当中的内容会进入到对象当中，成为独立的键，如 'b':'2'，而不是__proto__的形式。

function merge(target, source) {
    for (let key in source) {
        if (key in source && key in target) {
            merge(target[key], source[key])
        } else {
            target[key] = source[key]
        }
    }
}

let object1 = {}
let object2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(object1, object2)
console.log(object1.a, object1.b)

object3 = {}
console.log(object3.b)

输出

1 2
2