JavaScript中的原型污染（Prototype Pollution）如何防范？

原型污染是JavaScript中因不安全的对象合并或属性赋值导致的安全问题，攻击者通过构造__proto__等特殊键名篡改Object.prototype，影响所有对象行为。防范措施包括：避免递归合并用户输入，使用安全版本的库（如lodash>=4.17.21），优先采用Object.assign()进行浅拷贝，使用Object.create(null)创建无原型对象以杜绝污染可能，对动态属性名进行白名单校验或类型检查，禁用constructor、prototype等敏感键名，结合Object.defineProperty锁定关键属性，并遵循最小权限原则，避免执行用户输入的代码。同时启用CSP可降低后续攻击风险。核心在于控制属性写入路径，确保不可信数据无法影响对象结构，尤其在深拷贝、配置解析等场景中更需谨慎。

原型污染是JavaScript中一个容易被忽视但危害较大的安全问题，主要出现在处理对象递归合并、属性赋值等操作时，攻击者通过构造特殊输入篡改Object.prototype，进而影响所有对象的行为。防范的关键在于避免对用户可控的属性路径进行不安全的操作。

避免递归合并用户输入

许多库（如lodash）曾因深拷贝或合并对象时未校验属性路径而出现原型污染漏洞。如果你需要实现对象合并或深拷贝，注意不要盲目遍历并设置属性，尤其是当键名为 __proto__、constructor 或 prototype 时。

• 手动实现深拷贝时，跳过这些敏感键名
• 使用安全的库版本（例如 lodash >=4.17.21 已修复相关问题）
• 考虑使用 Object.assign() 进行浅拷贝，它不会递归处理嵌套对象，相对更安全

使用 Object.create(null) 创建无原型对象

当你需要一个纯粹的“字典”对象来存储键值对时，使用 Object.create(null) 可以避免其继承 Object.prototype，从根本上防止原型链被污染。

• 这类对象没有 toString、hasOwnProperty 等默认方法，需注意使用方式
• 适合用于配置缓存、映射表等场景

对属性操作进行白名单或类型校验

在动态设置对象属性时，特别是属性名来自用户输入（如JSON配置、URL参数），应进行严格校验。

如知AI笔记

如知笔记——支持markdown的在线笔记，支持ai智能写作、AI搜索，支持DeepseekR1满血大模型

27

查看详情

立即学习“Java免费学习笔记（深入）”；

• 限制属性名不能为 __proto__、constructor、prototype
• 优先使用白名单机制，只允许特定字段被修改
• 使用 Object.defineProperty 并设置 configurable: false 来锁定关键属性

启用CSP与最小权限原则

虽然内容安全策略（CSP）不能直接阻止原型污染，但它能降低后续攻击的危害，比如阻止恶意脚本执行。同时遵循最小权限原则，避免在高权限上下文中运行不可信代码。

• 服务端避免使用 eval、new Function 执行用户输入
• 前端组件接收配置时做结构校验

以上就是JavaScript中的原型污染（Prototype Pollution）如何防范？的详细内容，更多请关注php中文网其它相关文章！