原型污染指攻击者通过__proto__篡改对象原型，影响所有继承对象。如恶意合并数据可使{}.isAdmin为true。常见于深度合并、深拷贝等操作。防护包括：校验键名、使用Object.create(null)、安全库版本、输入过滤及冻结原型。

JavaScript 原型污染是一个常被忽视但影响严重的安全问题，尤其在处理对象合并、深拷贝等操作时容易触发。理解其成因与防护手段，对构建安全的应用至关重要。

什么是原型污染

JavaScript 是基于原型的语言，每个对象都有一个内部链接指向其原型（[[Prototype]]），通过 __proto__ 可以访问这一属性。原型污染指攻击者通过外部输入篡改对象的原型，从而影响所有继承该原型的对象行为。

例如，当代码递归合并对象时，若未过滤 __proto__ 字段，恶意输入可能修改 Object 的原型：

const merge = (target, source) => { for (let key in source) { if (typeof source[key] === 'object' && target[key]) { merge(target[key], source[key]); } else { target[key] = source[key]; } } }; merge({}, JSON.parse('{"__proto__":{"isAdmin":true}}')); console.log({}.isAdmin); // true — 所有对象都被污染

常见触发场景

以下操作最容易导致原型污染：

• 对象深度合并：如 lodash 的旧版本 merge 函数曾因此中招
• 深拷贝实现不严谨：递归复制时未跳过原型相关字段
• 属性赋值未校验键名：直接使用用户输入作为属性名
• JSON 解析后处理不当：解析后将数据直接合并到系统对象

有效防护策略

避免原型污染需从编码习惯和工具层面双重防范：

• 避免使用 __proto__ 作为属性名：在对象操作前检查 key 是否为 '__proto__' 或 'constructor'
• 使用 Object.create(null)：创建无原型的对象，切断继承链，适合用作字典或映射表
• 采用安全的合并方法：使用 Object.assign() 时注意它不会递归处理，深层合并应选用已修复漏洞的库版本
• 输入验证与清理：对用户传入的对象结构进行白名单过滤，移除敏感键名
• 冻结关键原型：生产环境中可使用 Object.freeze(Object.prototype) 防止后续修改

使用现代 API 提升安全性

ES6+ 提供了更安全的操作方式：

• Object.hasOwn(obj, key) 替代 hasOwnProperty，更可靠地检测自身属性
• Reflect.ownKeys() 获取对象所有自有键，便于完整校验
• 处理对象遍历时优先使用 Object.keys() 而非 for-in，避免遍历原型链

基本上就这些。只要在处理对象动态赋值时保持警惕，特别是涉及用户输入的场景，原型污染是完全可以避免的。安全往往藏在细节里。