遭了！JavaScript 代码被投毒了

文章预览

不知大家是否还记得两年前 Github 出现的一个名为 Evil.js 的项目，其号称专治 996 公司，实际就是给前端项目“ 投毒 ”。本文就来聊一聊这个项目背后的故事： 原型污染 。 原型污染是一种很少被关注但潜在风险严重的安全漏洞，它影响基于原型的编程语言，例如 JavaScript。这种漏洞 通过篡改对象的原型链，从而影响所有基于该原型的对象 。 基于原型的编程范式 在深入探讨原型污染之前，先来回顾一下 JavaScript基于原型的编程范式。 JavaScript 的原型机制是其面向对象编程模型的核心，它允许对象通过原型链来继承属性和方法。在 JavaScript 中，每个对象都有一个与之关联的原型对象，当试图访问一个对象的属性或方法时，如果该对象本身没有该属性，JavaScript 就会查找该对象的原型对象，看原型对象是否有这个属性。这个过程会一直持续到原型链的 ………………………………