防止第三方库篡改对象属性的关键是将关键属性设为configurable: false,配合writable: false实现真正只读;还可通过Object.seal()或Object.freeze()按需选择保护粒度。
要防止第三方库修改对象属性,关键不是堵住所有入口,而是让关键属性“不可重定义”——configurable: false 正是实现这一点的核心机制。
第三方库通常通过直接赋值(obj.prop = newValue)、Object.defineProperty 或 delete 来干预属性。其中,delete 和重复定义依赖于 configurable 的状态。
configurable: false,delete obj.prop 就会失败(非严格模式返回 false,严格模式抛 TypeError)Object.defineProperty(obj, 'prop', {...}) 修改 enumerable、writable 或 configurable 自身,全部报错(唯一例外:writable: true → false 允许)obj.prop = 'x')是否生效,取决于 writable;configurable 不影响读写,只管“定义规则”仅设 configurable: false 不够防篡改——如果 writable: true,第三方仍可直接赋值改值。必须两者配合:
writable: false → 阻止 obj.prop = ... 赋值configurable: false → 阻止后续用 defineProperty 把 writable 改回 true,也阻止删除示例:
立即学习“Java免费学习笔记(深入)”;
const API = {};<br>Object.defineProperty(API, 'VERSION', {<br> value: '2.1.0',<br> writable: false,<br> configurable: false,<br> enumerable: true<br>});
此时任何尝试:API.VERSION = '3.0'(静默无效)、delete API.VERSION(失败)、Object.defineProperty(API, 'VERSION', { writable: true })(报错)。
第三方库常通过覆盖原型方法下钩子(如重写 Array.prototype.push)。防范方式是在定义时就锁定:
MyClass.prototype.method = function(){} 这类简单赋值(默认 configurable: true)Object.defineProperty 显式声明:writable: false + configurable: false
String.prototype)尽早调用 Object.freeze(),它内部已批量设 configurable: false
注意:这只能防止修改原型上的属性,不能阻止实例创建同名自有属性进行遮蔽(即 obj.method = ... 会覆盖继承来的只读方法)——若需彻底防护,还需结合 Object.seal() 或 Object.freeze() 实例本身。
全量冻结(Object.freeze(obj))虽省事,但可能过度限制:
Object.seal():设所有自有属性 configurable: false,保留 writable 原值 → 适合需保留可变值但防删/防重定义的场景Object.freeze():在 seal 基础上再设所有 writable: false → 适合配置对象、常量集合configurable: false 更精细:只锁特定敏感字段(如 token、isTrusted),其余属性保持灵活例如暴露给第三方的 SDK 对象,可只对 authKey 和 endpoint 单独锁定,其他配置项仍允许动态更新。