原型链污染攻击也称JavaScript Prototype 污染攻击

admin2024-04-03  0

JavaScript数据类型

let和var关键字的区别

使用var或let关键字可以定义变量

let和var的区别如下:

    var是全局作用域,let 只在当前代码块内有效
    当在代码块外访问let声明的变量时会报错

    var有变量提升,let没有变量提升
    let必须先声明再使用,否则报Uncaught ReferenceError xxx is not defined;var可以在声明前访问,只是会报undefined

    let变量不能重复声明,var变量可以重复声明

普通变量
var x=5;
var y=6;
var z=x+y;
var x,y,z=1;

let x=5;
数组变量
var a = new Array();

var a = [];

字典
var a = {};
var a = {"foo":"bar"};
JavaScript函数
在Javascript中,函数使用function关键字来进行声明
function myFuntion() {

}
声明带参数的函数
function myFuntion(a) {
	
}
声明带返回值的函数
function myFuntion(a) {
	return a;
}
直接调用匿名函数

(function(a){
    console.log(a); 
})(123);
还可以把变量变成函数,调用fn()即调用了匿名函数的功能

var fn = function(){
    return "将匿名函数赋值给变量";
}

 假设在函数内部新建了一个变量,函数执行完毕之后,函数内部这个独立作用域或(封闭的盒子)就会删除,此时这个新建变量也会被删除。

如何令这个封闭的盒子是不会删除?可以使用“闭包”的方法(闭包涉及函数作用域、内存回收机制、作用域继承)

闭包后,内部函数可以访问外部函数作用域的变量,而外部的函数不能直接获取到内部函数的作用域变量

例如不使用额外的全局变量,实现一个计数器

因为add变量指定了函数自我调用的返回值(可以理解为计数器值保存在了add中), 每次调用值都加一而不是每次都是1

var add = (function () {
    var counter = 0;
    return function () {return counter += 1;}
})();

原型链污染攻击也称JavaScript Prototype 污染攻击,第1张

JavaScript类

在以前,如果要定义一个类,需要以定义“构造函数”的方式来定义,例如

如果想添加一些方法呢?可以在内部使用构造方法

为了简化编写JavaScript代码,ECMAScript 6后增加了class语法

class 关键字

可以使用 class 关键字来创建一个类

形式如下(如果不定义构造方法,JavaScript 会自动添加一个空的构造方法)

使用new创建对象

查看testClass对象的test属性的值,为testtest

原型链污染攻击也称JavaScript Prototype 污染攻击,第2张

往对象添加属性

直接使用.属性名即可,例如向testClass添加aaa属性

testClass.aaa = 333;

原型链污染攻击也称JavaScript Prototype 污染攻击,第3张

类的方法

形式如下

原型链污染

什么是原型

这里的原型指的是prototype

比如说上面前言部分讲的JavaScript类那里,

我们使用new新建了一个newClass对象给newObj变量

实际上这个newObj变量使用了原型(prototype)来实现对象的绑定【而不是绑定在“类”中,与JavaScript的特性有关,它的“类”与其它语言(例如JAVA、C++)类不同,它的“类”基于原型】

prototype是newClass类的一个属性,而所有用newClass类实例化的对象,都将拥有这个属性中的所有内容,包括变量和方法,如下

 

简单来说就是:

    prototype是newClass类的一个属性
    newClass类实例化的对象newObj不能访问prototype,但可以通过.__proto__来访问newClass类的prototype
    newClass实例化的对象newObj的.__proto__指向newClass类的prototype

原型链污染攻击也称JavaScript Prototype 污染攻击,第4张

关系如下

原型链污染攻击也称JavaScript Prototype 污染攻击,第5张

原型链污染原理
原理

现在已经知道实例化的对象的.__proto__指向类的prototype,

那么修改了实例化的对象的.__proto__的内容, 类的prototype的内容是否也会发生改变?

答案是肯定的,这就是原型链污染的利用方法

比如说现在有一个类a

var obj = new a();

原型链污染攻击也称JavaScript Prototype 污染攻击,第6张

修改a类的原型(即Object,如本文什么是原型部分-关系如下所示),

添加一个属性test1,令其值为123

a.prototype.test1 = 123;

原型链污染攻击也称JavaScript Prototype 污染攻击,第7张

再次查看obj的内容,多了一个test1

原型链污染攻击也称JavaScript Prototype 污染攻击,第8张

访问下obj.test1看看

原型链污染攻击也称JavaScript Prototype 污染攻击,第9张

然后尝试通过obj1的.__proto__属性来修改test1的值

obj1.__proto__.test1 = 124;

此时访问obj.test1,发现也被修改成了124

明明没有动obj,obj.test1却改变了,说明a类中的test1被修改了

obj.test1

原型链污染攻击也称JavaScript Prototype 污染攻击,第10张

查看a类的属性,确实如此

原型链污染攻击也称JavaScript Prototype 污染攻击,第11张

通过obj1中.__proto__属性添加一个新属性,和上面修改a类的原型的过程也是一样的

下面演示添加新属性test2

obj1.__proto__.test2 = 111;

如下图操作所示

原型链污染攻击也称JavaScript Prototype 污染攻击,第12张

可以发现obj中也出现了新属性test2, 并且a类中也出现了新属性test2

原型链污染攻击也称JavaScript Prototype 污染攻击,第13张

进一步利用

上面的例子中,展示了如何通过对象往类中添加一个新属性并修改这个新属性

那如果想改变已有属性的值呢?

先实例化一个字典对象,叫obj,内有key名为test,test的value是123

然后通过obj的.__proto__属性为test重新赋值

再实例化一个空字典对象,叫ooo

查看ooo的test属性,发现居然是2

原型链污染攻击也称JavaScript Prototype 污染攻击,第14张

因为Object类的test属性已经被污染,而对象ooo和obj同属Object类

那再看看obj的test属性的值,为123

原型链污染攻击也称JavaScript Prototype 污染攻击,第15张

这是为啥?

这就涉及到查找顺序了

查找顺序
描述

关于查找顺序,我觉得我无法写出比P神更好的解释,所以这里直接引用P神的解释

所有类对象在实例化的时候将会拥有prototype中的属性和方法,这个特性被用来实现JavaScript中的继承机制。
function Father() {
    this.first_name = 'Donald'
    this.last_name = 'Trump'
}

function Son() {
    this.first_name = 'Melania'
}

Son.prototype = new Father()

let son = new Son()
console.log(`Name: ${son.first_name} ${son.last_name}`)
Son类继承了Father类的last_name属性,最后输出的是Name: Melania Trump。

总结一下,对于对象son,在调用son.last_name的时候,实际上JavaScript引擎会进行如下操作:

    在对象son中寻找last_name
    如果找不到,则在son.__proto__中寻找last_name
    如果仍然找不到,则继续在son.__proto__.__proto__中寻找last_name
    依次寻找,直到找到null结束。比如,Object.prototype的__proto__就是null

原型链污染攻击也称JavaScript Prototype 污染攻击,第16张

更多描述

比如说此处的obj

利用.__proto__修改值后的test属性在当前对象的test属性下面(也就是在当前对象所绑定的prototype中),

所以优先读取当前对象下的test属性,即未被修改的值123

原型链污染攻击也称JavaScript Prototype 污染攻击,第17张

而ooo对象由于当前属性中没有test属性,只能从它绑定的prototype中找test对象(或下一级的prototype),

没找到返回undefined

原型链污染攻击也称JavaScript Prototype 污染攻击,第18张

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明原文出处。如若内容造成侵权/违法违规/事实不符,请联系SD编程学习网:675289112@qq.com进行投诉反馈,一经查实,立即删除!