AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

JavaScript服务器编程(对象属性枚举中应当避免原型污染问题)

2017-11-07 1018
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

  前面文章中讨论了JS开发中对象属性枚举的ES3和ES5方案并给出了一组常用工具函数,其实,企业开发中真正应用时还存在不少问题。本文想基于前文进一步探讨一下有关原型污染的问题。由于JS的先天不足,有关原型污染背后隐藏着一个大的“故事”,以后我们的文章中还要涉及其中一些情节。

 

问题

前面在讨论使用in运算符检测对象中是否存在属性的方案,但是通过所举的示例也发现一个问题,例如:

console.log('"ID" in contacts: ',"ID" in contacts);

其输出结果也是true。这说明in运算符在属性检测时不仅搜索当前对象的自有属性,还会沿着对象的原型链搜索。

根据前面对于属性继承的分析可得知,JS中的对象总是以继承的方式工作,即使是一个空的对象字面量也会继承Object.prototype的大量属性。因此,对于下面的测试结果正在我们的意料之中:

var pol={};

console.log("Hi" in pol);  //false

console.log("toString" in pol);  //true

console.log("valueOf" in pol);  //true

console.log("constructor" in pol);  //true

console.log("__defineGetter__" in pol);  //true

console.log("__defineSetter__" in pol);  //true

console.log("__lookupGetter__" in pol);  //true

console.log("__lookupSetter__" in pol);  //true

console.log("hasOwnProperty" in pol);  //true

console.log("isPrototypeOf" in pol);  //true

console.log("propertyIsEnumerable" in pol);  //true

console.log("toLocaleString" in pol);  //true

而在ES5中使用Object.prototype中的hasOwnProperty方法正好可以避免上面的问题,因为它只检索对象的自有属性,包括不可枚举的属性(ES3中没有定义这样的概念)。

更进一步

如果对象本身有一个自有属性hasOwnProperty,情况又该如何呢?参考如下代码:

var o={};

o.hasOwnProperty="*********";

console.log(o.hasOwnProperty("Alice");

运行测试时,出现如下图所示的运行时错误:

wKiom1VdeFzzyFEeAAFdskcrBaM427.jpg

对于这种情况,专家的建议是“最安全的方法是不做任何假设”。于是,我们可以提前在任何安全的位置提取出hasOwnProperty方法,同时利用立即执行的匿名函数的词法作用域特点,实现如下解决方案:

(function testOwnProperty(){

    //var hasOwn=Object.prototype.hasOwnProperty;也可以使用如下更简洁方式

    var hasOwn={}.hasOwnProperty;

 

    var dict={};

    dict.Alice=12;

    console.log("------------");

    console.log(hasOwn.call(dict,"hasOwnProperty"));

    console.log(hasOwn.call(dict,"Alice"));

    dict.hasOwnProperty=100;

    console.log("-------------");

    console.log(hasOwn.call(dict,"hasOwnProperty"));

    console.log(hasOwn.call(dict,"Alice"));

    console.log("---------------");

})();

于是,不管对象的hasOwnProperty方法是否被覆盖,上述方案都能够正常工作。值得注意的是,许多知名JS库就是利用了上述技术。
















本文转自朱先忠老师51CTO博客,原文链接:http://blog.51cto.com/zhuxianzhong/1653484,如需转载请自行联系原作者



文章标签:
JavaScript
安全
前端开发
自然语言处理
关键词:
JavaScript对象
JavaScript服务器
JavaScript编程
javascript云服务器 ECS
JavaScript属性
技术小甜
目录
相关文章
我是快乐的嘟嘟
|
14天前
|
JavaScript 前端开发
如何在 JavaScript 中使用 __proto__ 实现对象的继承?
使用`__proto__`实现对象继承时需要注意原型链的完整性和属性方法的正确继承,避免出现意外的行为和错误。同时,在现代JavaScript中,也可以使用`class`和`extends`关键字来实现更简洁和直观的继承语法,但理解基于`__proto__`的继承方式对于深入理解JavaScript的面向对象编程和原型链机制仍然具有重要意义。
我是快乐的嘟嘟
80 50
大树营养快线
|
18天前
|
Web App开发 JavaScript 前端开发
如何确保 Math 对象的方法在不同的 JavaScript 环境中具有一致的精度?
【10月更文挑战第29天】通过遵循标准和最佳实践、采用固定精度计算、进行全面的测试与验证、避免隐式类型转换以及持续关注和更新等方法,可以在很大程度上确保Math对象的方法在不同的JavaScript环境中具有一致的精度,从而提高代码的可靠性和可移植性。
大树营养快线
31 3
光明顶阳顶天
|
23天前
|
监控 JavaScript 前端开发
确定使用 `defer` 属性还是 `async` 属性来异步加载 JavaScript
【10月更文挑战第24天】选择使用 `defer` 属性还是 `async` 属性来异步加载 JavaScript 是一个需要综合考虑多个因素的决策。需要根据脚本之间的依赖关系、页面加载性能要求、脚本的功能和重要性等因素来进行权衡。在实际应用中,需要通过测试和验证来确定最适合的加载方式,以提供更好的用户体验和页面性能。
光明顶阳顶天
87 56
大树营养快线
|
18天前
|
JavaScript 前端开发 图形学
JavaScript 中 Math 对象常用方法
【10月更文挑战第29天】JavaScript中的Math对象提供了丰富多样的数学方法,涵盖了基本数学运算、幂运算、开方、随机数生成、极值获取以及三角函数等多个方面,为各种数学相关的计算和处理提供了强大的支持,是JavaScript编程中不可或缺的一部分。
大树营养快线
33 1
土木林森
|
23天前
|
自然语言处理 JavaScript 前端开发
JavaScript闭包:解锁编程潜能,释放你的创造力
【10月更文挑战第25天】本文深入探讨了JavaScript中的闭包,包括其基本概念、创建方法和实践应用。闭包允许函数访问其定义时的作用域链,常用于数据封装、函数柯里化和模块化编程。文章还提供了闭包的最佳实践,帮助读者更好地理解和使用这一强大特性。
土木林森
15 2
光明顶阳顶天
|
23天前
|
监控 JavaScript 前端开发
使用 `defer` 属性异步加载 JavaScript
【10月更文挑战第24天】使用 `defer` 属性异步加载 JavaScript 是一种有效的提高页面性能和用户体验的方法。通过合理设置 `defer` 属性,可以在不影响页面渲染的情况下异步加载脚本,并确保脚本的执行顺序。在实际应用中,需要根据具体情况选择合适的加载方式,并注意处理可能出现的问题,以确保页面能够正常加载和执行。
光明顶阳顶天
13 1
邹荣乐
|
1月前
|
缓存 JavaScript 前端开发
JavaScript中数组、对象等循环遍历的常用方法介绍(二)
JavaScript中数组、对象等循环遍历的常用方法介绍(二)
邹荣乐
34 1
邹荣乐
|
1月前
|
JavaScript 前端开发 大数据
在JavaScript中,Object.assign()方法或展开语法(...)来合并对象,Object.freeze()方法来冻结对象,防止对象被修改
在JavaScript中,Object.assign()方法或展开语法(...)来合并对象,Object.freeze()方法来冻结对象,防止对象被修改
邹荣乐
18 0
Star时光
|
1月前
|
JSON JavaScript 前端开发
使用JavaScript和Node.js构建简单的RESTful API服务器
【10月更文挑战第12天】使用JavaScript和Node.js构建简单的RESTful API服务器
Star时光
17 0
邹荣乐
|
1月前
|
JavaScript 前端开发 索引
JavaScript中数组、对象等循环遍历的常用方法介绍(一)
JavaScript中数组、对象等循环遍历的常用方法介绍(一)
邹荣乐
23 0

热门文章

最新文章

  • 1
    尝鲜:如何搭建一个简单的webrtc服务器
  • 2
    阿里云ECS新T5的体验
  • 3
    远程服务器ubuntu安装Jupyter Lab详细教程
  • 4
    Mac下搭建FTP服务器
  • 5
    云服务器 ECS 服务器访问异常问题排查指引
  • 6
    RAKsmart高防服务器的优势是什么?这篇文章给你答案
  • 7
    网络管理自动化之三、SMS服务器的配置详解
  • 8
    nginx+keepalived构建主主负载均衡代理服务器
  • 9
    构建企业服务之windows 2008 负载均衡服务器部署
  • 10
    linux复制文件到另一台服务器
  • 1
    【MongoDB 专栏】MongoDB 的 JavaScript 引擎与脚本执行
    105
  • 2
    JavaScript 数组方法概览
    36
  • 3
    在JavaScript中,函数原型(Function Prototype)是一个特殊的对象
    57
  • 4
    JavaScript 的数组方法 map()、filter() 和 reduce() 提供了函数式编程处理元素的方式
    46
  • 5
    JavaScript 提供了多种方法来操作 DOM(文档对象模型)
    47
  • 6
    JavaScript的垃圾回收机制通过标记-清除算法自动管理内存
    56
  • 7
    JavaScript 的垃圾回收机制有一些潜在的缺点
    40
  • 8
    nbcio-vue下载安装后运行报错,diagram-js没有安装
    57
  • 9
    了解JavaScript的垃圾回收机制
    39
  • 10
    uni-app和Vue.js二者之间有什么区别?
    64

    • 相关课程

    更多
  • Linux Web服务器Nginx搭建与配置
  • JavaScript入门与实战
  • JavaScript 自学手册文档教程
  • 7天玩转云服务器
  • 云服务器选型、迁云最佳实践
  • 云服务器ECS基本操作

    • 相关电子书

    更多
  • JavaScript异步编程
  • Delivering Javascript to World
  • 编程语言如何演化-以JS的private为例

    • 相关实验场景

    更多
  • 使用ECS和RDS搭建个人博客
  • 利用云备份Cloud Backup实现ECS文件备份
  • 基于ECS搭建FTP服务
  • 基于ECS和NAS搭建个人网盘
  • 使用ECS和OSS搭建个人网盘
  • 基于ECS搭建云上博客
    • 下一篇
    无影云桌面