原型链污染漏洞详解与防御技巧

原型链污染是JavaScript中一种隐蔽却危害极大的安全漏洞，源于开发者未对用户输入进行严格过滤，导致攻击者通过操控JSON、URL参数等外部数据向Object.prototype注入恶意属性，从而劫持所有对象的行为；文章深入剖析了其触发机制（如缺陷深拷贝工具、不安全递归赋值、危险JSON解析），并系统梳理了从依赖升级、敏感键过滤、白名单校验到structuredClone替代、原型冻结及运行时监控的多层次防御策略，强调唯有坚守“不信任任何输入”和“最小权限赋值”原则，才能从根本上遏制这一因设计误用而非语言缺陷引发的风险。

原型链污染是 JavaScript 中一种因不当处理对象属性而导致的高危安全问题，本质是攻击者通过控制输入，向 Object.prototype 写入恶意属性，从而影响所有对象的行为。

污染是如何发生的

JavaScript 的对象在访问属性时会沿原型链向上查找。若代码未加防护地将用户可控数据（如 JSON 解析结果、URL 参数、表单字段）递归赋值到普通对象，就可能意外修改 __proto__ 或 constructor.prototype，进而污染全局原型。

常见触发点包括：

• 使用浅/深拷贝工具（如 lodash.merge、_.set）处理不可信输入时未禁用原型键
• 手动实现递归赋值逻辑，且未过滤 __proto__、constructor、prototype 等敏感键名
• 将用户提交的 JSON 字符串直接 JSON.parse() 后合并进配置对象，而该 JSON 包含 {"__proto__": {"admin": true}}

关键防御手段

核心原则是：永远不把不可信输入当作对象路径或属性名来使用，尤其避免递归写入操作。

• 升级并锁定依赖版本：确认使用的工具库（如 lodash < 4.17.21、hoek < 5.0.3）已更新至修复版本；旧版 lodash.merge 默认允许污染，新版需显式启用 customizer 或改用 lodash.assignInWith 控制行为
• 输入清洗与白名单校验：对所有外部输入，在解析或赋值前过滤掉 __proto__、constructor、prototype 及其大小写变体（如 __PROTO__）；优先采用字段白名单机制，只允许明确声明的属性被设置
• 使用安全的替代方案：避免通用深拷贝函数；可用 Object.assign({}, input) 做浅拷贝；需要深拷贝时，用 structuredClone（现代环境）或自定义函数跳过原型相关键；Node.js 中可启用 --disable-proto=throw 运行参数强制拦截

运行时防护建议

在关键服务中增加额外保护层，提高攻击门槛。

• 启动时冻结原型：执行 Object.freeze(Object.prototype) 和 Object.freeze(Function.prototype)（注意兼容性，部分老环境可能报错）
• 监控异常属性写入：通过重写 Object.prototype.__defineSetter__ 或利用 Proxy 包裹全局对象（仅限开发/测试环境，生产慎用）捕获可疑操作
• 启用严格模式与 CSP：虽不能阻止污染本身，但可限制后续利用（如禁止 eval、限制内联脚本），降低 RCE 或 XSS 风险

原型链污染不是语法缺陷，而是设计误用与信任边界模糊的结果。只要坚持“不信任任何输入”和“最小权限赋值”，就能有效规避绝大多数场景下的风险。

今天关于《原型链污染漏洞详解与防御技巧》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！