堆栈内存溢出
  繁体   English   中英

如何更改此 object 属性分配以避免原型污染

[英]How can I change this the object property assignment to avoid prototype pollution

 原文  2021-05-19 19:23:21       javascript/ node.js/ object/ security/ prototype

问题描述

我有一行代码看起来像

  gMapping[userName] = gMapping[userName] || [];

我看到了 Snyk 提出的 Prototype 污染漏洞。 如何解决?

相关代码:

const gMapping: { [user_name: string]: string[] } = {};

// Map records to dictionaries
dbRecs.forEach(rec => {
    const userName = rec.user_name;
    const groupId = rec.group_id;
    gMapping[userName] = gMapping[userName] || [];
    gMapping[userName].push(groupId);
  }
});

1 个解决方案

解决方案1
 2 已采纳  2021-05-19 23:33:12

问题是userName可能是"__proto__" 我不确定这在您的情况下是否可以利用,但是在尝试在Object.prototype上调用.push()时仍然会导致异常。

避免此问题,请使用Object.create(null) (不幸的是,使用 TypeScript 并不容易)或切换到正确的 ES6 Map<string, string[]>

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何在javascript中避免原型污染? 如何防止 JavaScript 中的原型污染 如何在不将属性应用于Number.prototype的情况下将其添加到Object.prototype? `Object.fromEntries()` 是否不受原型污染的影响? 我可以在对象原型(方法)中定义属性吗? 为什么不能使用原型将属性绑定到对象? 原型污染与专用库对象的性能和内存 实例如何更新原型上的对象属性? 为什么对象原型中的属性不能被对象修改? JavaScript:通过原型进行属性赋值
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM