近期打算准备重构我17年写的博客项目,打开项目看到了下图的一条安全漏洞的提示。
使用 lodash 这么多年,居然有高危漏洞,好奇心驱使我继续探索。
探索过程
What
在项目下执行:
- npm audit
复制代码图中网站地址: www.npmjs.com/advisories/…]
图中 HackerOneReport 地址:hackerone.com/reports/310…
原来是原型污染。npm 网站上已经描述的很清楚了,是 'defaultsDeep'、'merge'、 'mergeWith' 三个函数在使用中可能会造成原型污染。
Why
尝试一把:
使用 ES6 assign 实现:
果然是有问题的。
How
相关补丁 commit: github.com/lodash/loda…
核心代码:
结论: 实现了一个 safeGet 的函数来避免获取原型上的值。
相关知识点
-
npm audit docs.npmjs.com/cli/audit
-
proto vs prototype: github.com/creeperyang…
最佳实践
-
尽量避免使用 for...in... 遍历对象
-
遍历对象时先使用 Object.keys() 获取对象的所有 key,再进行遍历
-
不要直接将一个未知变量作为对象的 key 使用
-
在读取一个对象未知属性时,一定要使用 hasOwnProperty 判断之后再去读取