堆棧內存溢出
  簡體   English   中英

如何更改此 object 屬性分配以避免原型污染

[英]How can I change this the object property assignment to avoid prototype pollution

 原文  2021-05-19 19:23:21       javascript/ node.js/ object/ security/ prototype

問題描述

我有一行代碼看起來像

  gMapping[userName] = gMapping[userName] || [];

我看到了 Snyk 提出的 Prototype 污染漏洞。 如何解決?

相關代碼:

const gMapping: { [user_name: string]: string[] } = {};

// Map records to dictionaries
dbRecs.forEach(rec => {
    const userName = rec.user_name;
    const groupId = rec.group_id;
    gMapping[userName] = gMapping[userName] || [];
    gMapping[userName].push(groupId);
  }
});

1 個解決方案

解決方案1
 2 已采納  2021-05-19 23:33:12

問題是userName可能是"__proto__" 我不確定這在您的情況下是否可以利用,但是在嘗試在Object.prototype上調用.push()時仍然會導致異常。

避免此問題,請使用Object.create(null) (不幸的是,使用 TypeScript 並不容易)或切換到正確的 ES6 Map<string, string[]>

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 如何在javascript中避免原型污染? 如何防止 JavaScript 中的原型污染 如何在不將屬性應用於Number.prototype的情況下將其添加到Object.prototype? `Object.fromEntries()` 是否不受原型污染的影響? 我可以在對象原型(方法)中定義屬性嗎? 為什么不能使用原型將屬性綁定到對象? 原型污染與專用庫對象的性能和內存 實例如何更新原型上的對象屬性? 為什么對象原型中的屬性不能被對象修改? JavaScript:通過原型進行屬性賦值
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM