y18n引发安全漏洞，警惕javascript原型链污染

2021-04-01收到了github的邮件，还以为是关于愚人节的（误），提醒我有一条Dependabot alerts，包依赖存在安全问题，当然这不是第一次了，正常情况我批准merge掉后就不会关心了，不过我发现这个包是y18n，这让我感到奇怪，这个包的功能非常简单，其实就是i18n，做语言国际化用的，逻辑应该非常简单，怎么会出安全问题呢？

我找到了这个安全问题的具体信息，他的CVE ID为CVE-2020-7774，并且上报了SNYK，代码为SNYK-JS-Y18N-1021887，SNYK对此安全问题给出了7.3的高分，并将安全类别划分为CWE-400（资源消耗不受限制），如此严重的问题是怎么回事呢？

找到具体的修复PR，在https://github.com/yargs/y18n/pull/108，commit只有一个，为https://github.com/yargs/y18n/pull/108/commits/e90e8ce71b2fd5aa27c5109884ea47525fde961f，打开这个commit，发现其实主要只改了一行代码，加了两个检测原型的单元测试，这一行代码修改如下

-    this.cache = {
   }
+    this.cache = Object.create(null)

可能有人不明白这两行代码有什么区别，使用{}创建的对象自带原型属性，而Object.create(null)是干净的，在console中就可以试出来，输入{}，点开返回的内容，发现其中只有一个__proto__属性，点开这个属性可以发现其中还有constructor，hasOwnProperty等等，而输入Object.create(null)，返回的是一个没有任何属性的空的{}。

为什么带__proto__的对象有安全隐患呢，原因很简单，__proto__是所有对象共享的，而不是一个对象独占，举一个很简单的例子，在console运行如下code

let foo = {
   }
let bar = {
   }
foo.__proto__.isBad = true
bar.isBad
//true

我们发现bar.isBad得到了true，其实此时任何原型对象都有了一个isBad，这就足以说明其危险性，而Object.create(null)是没有__proto__的，即使强行赋一个__proto__的值，也不会改变其他对象的__proto__

当然在很多时候我们发现不少项目都有直接写{}的习惯，他们都有安全问题吗？当然不是，如果你能完全控制好自己的对象，不使其收到用户输入与环境的影响，那自然是没问题的，但上文提到的cache对象并不是这样，大致阅读下index.ts的代码就可以发现，外部可以给予它任何属性，没有做任何的检查，这当然是存在严重的问题的，使用y18n的程序只需要被注入一小段以__proto__为locale代码，系统很快就会奔溃掉。

关于使用Object.freeze防止原型链污染

其实除了用Object.create(null)创建对象以外，如果适当的时机使用Object.freeze()冻结__proto__，这个问题也不会发生

const foo = {
   }
const bar = {
   }
foo.progress//progress of this foo object
foo.__proto__ = Object.freeze(foo.__proto__)
foo.__proto__.isBad = true
//foo.__proto__.isBad is undefined

freeze掉__proto__之后再对__proto__进行修改时，不会产生任何效果，因为foo已经被冻结，此时即使对象暴露在外部，全局__proto__指针也是安全的，它事实上已经是只读的，但请注意只冻结对象是没有用的，Object.freeze无法冻结整个属性链，例如

const a = Object.freeze({
   b: {
   c: 1}})
a.b.c = 2

这样修改是成功的，因为Object.freeze只冻结了b属性，但b自己也是一个对象，它的属性c是不会被冻结的，在__proto__上也是一样的，

const foo = Object.freeze({
   })
const bar = {
   }
foo.__proto__.isBad = true
bar.isBad
//true

__proto__本身被冻结了，foo.__proto__ = xx是不会生效的，但是对__proto__中属性的操作仍然都是有效的

其他注意事项

1. 不少情况下，Map都要比Object更好，应该经常注意是否具备用Map替代Object的情况，在2016年ES6兴起的时候，国外就有社区对这个问题进行了大量交流，也有很多大牛发文响应这一观点，近年来也有很多相关的中文文章
2. 对外部JSON输入进行安全验证，例如使用jpv 一类的验证器，不过这些组件的安全问题也是值得关注的，例如CVE-2020-17479这样伪装成数组绕过验证的神奇漏洞
3. 防止直接的代码注入，例如在web项目的console中警告用户不要输入未知代码，例如Facebook使用多国语言在console中警告用户停止输入未知内容的行为，在electron应用中应该在发布时关闭develop面板

FYI

• y18n fix commit
• GitHub Advisory Database
• SNYK-JS-Y18N-1021887
• CWE-400

本文写作于2021年4月2日并发布于lyrieek的掘金，于2023年7月16日进行修订发布于lyrieek的阿里云开发者社区。