防止原型污染干扰属性存在性检查的核心是绕过原型链、不依赖对象自身方法,应优先使用 Object.hasOwn(obj, 'key')——它直接调用原始实现,不走原型链,不受 hasOwnProperty 被覆盖或 Object.create(null) 影响;兼容旧环境时改用 Object.prototype.hasOwnProperty.call(obj, 'key');禁用 in 和 obj.key !== undefined 等易误判方式,并从源头冻结原型或使用无原型对象。
防止原型污染干扰属性存在性检查,核心是绕过原型链、不依赖对象自身方法、杜绝污染入口。关键不在“怎么查”,而在于“用什么对象查”和“用什么方式查”。
Object.hasOwn(obj, 'key') 是 ES2022 标准引入的专用方法,它直接检测对象自有属性,完全不走原型链,也不调用 obj 上任何方法——哪怕 obj 是 Object.create(null)、hasOwnProperty 被删或重写成字符串,它依然可靠。
'key' in obj 安全:后者会沿原型链查找,一旦 Object.prototype.key = true 被污染,空对象也会返回 true
obj.hasOwnProperty('key') 稳定:该方法本身可能被覆盖或删除,调用会报错或返回错误结果若需支持 IE 或早期 Node.js,不能写 obj.hasOwnProperty('key'),而应显式绑定到原始实现:
Object.prototype.hasOwnProperty.call(obj, 'key')
hasOwnProperty 被赋值为 undefined,也不会崩溃obj.key !== undefined 或 if (obj.key) 不是存在性检查,而是值判断,既不安全也不准确:
立即学习“Java免费学习笔记(深入)”;
undefined → 误判为“不存在”null.name)→ 直接中断执行0、false、'')再安全的检查方法,也挡不住已被污染的原型。真正防御要从输入开始切断路径:
__proto__、constructor、prototype 等键名,不能只查顶层Object.create(null),它没有原型链,天然免疫_.merge 等高危函数;Node.js 可启用 --disable-proto=throw
Object.prototype: Object.freeze(Object.prototype)(注意确认无合法库依赖)