y18n引发安全漏洞,警惕javascript原型链污染

最新推荐文章于 2025-01-19 09:24:31 发布
原创 最新推荐文章于 2025-01-19 09:24:31 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#node.js #es6 #javascript #安全

本文关注javascript原型链污染问题,通过分析y18n包的安全漏洞,探讨如何使用Object.freeze防止此类问题。文章指出,不恰当的原型使用可能导致资源消耗不受限制的安全风险,提醒开发者注意代码审查和外部输入的安全验证。

警惕javascript原型链污染问题

昨天收到了github的邮件,提醒我有一条Dependabot alerts,包依赖存在安全问题,当然这不是第一次了,正常情况我批准merge掉后就不会关心了,不过我发现这个包是y18n,这让我感到奇怪,这个包的功能非常简单,其实就是i18n,做语言国际化用的,逻辑应该非常简单,怎么会出安全问题呢?

我找到了这个安全问题的具体信息,他的CVE ID为CVE-2020-7774,并且上报了SNYK,代码为SNYK-JS-Y18N-1021887,SNYK对此安全问题给出了7.3的高分,并将安全类别划分为CWE-400(资源消耗不受限制),如此严重的问题是怎么回事呢?

找到具体的修复PR,在https://github.com/yargs/y18n/pull/108,commit只有一个,为https://github.com/yargs/y18n/pull/108/commits/e90e8ce71b2fd5aa27c5109884ea47525fde961f,打开这个commit,发现其实主要只改了一行代码,加了两个检测原型的单元测试,这一行代码修改如下

-    this.cache = {
   
   }
+    this.cache = Object.create(null)
最低0.47元/天 解锁文章
vue-----vue-18n多语言处理,实现国际化
m0_57391092的博客
10-19 1286
需求:后台管理系统中要求页面国际化,页面语言能够进行切换,满足不同地区用户需求。 可以借助vue-i18n插件来实现这个需求 vue-i18n国际化插件:实现语言切换 使用: 一、安装依赖 npm install vue-i18n 二、main.js文件中导入、配置(配置也可写在一个单独的i18n.js文件中) import Vue from "vue"; import App from "./App"; import router from "./router"; import VueI
Electron攻击面分析
顶峰
04-04 693
y18n:yargs使用的基本i18n库
05-01
y18n yargs使用的准系统国际化库。 受启发。 例子 简单的字符串翻译: const __ = require ( 'y18n' ) ( ) . __ ; console . log ( __ ( 'my awesome string %s' , 'foo' ) ) ; 输出: my awesome string foo 使用标记的模板文字 const __ = require ( 'y18n' ) ( ) . __ ; const str = 'foo' ; console . log ( __ `my awesome string ${ str } ` ) ; 输出: my awesome string foo 多元化支持: const __n = require ( 'y18n' ) ( ) . __n ; console . log ( __n ( 'on
y18n 项目常见问题解决方案
最新发布
gitblog_00691的博客
01-19 861
y18n 项目常见问题解决方案 1. 项目基础介绍和主要编程语言 y18n 是一个由 优快云 公司开发的轻量级国际化(i18n)库,它被 yargs 项目使用。该库主要用于处理字符串的本地化翻译,支持简单的字符串替换以及复数形式的支持。y18n 可以在 Node.js 环境中使用,并从 v5 版本开始支持 Deno。项目的开发主要使用 JavaScript 作为编程语言。 2. 新手在使用这个项...
y18n, yargs使用的裸骨骼 i18n 库.zip
09-18
y18n, yargs使用的裸骨骼 i18n 库 y18n yargs使用的裸骨骼国际化库。由 i18n 激发。示例简单字符串翻译:var __ = require('y18n').__console.log(__('my awesome str
【国际化新星】y18n - 简洁高效的多语言解决方案
gitblog_00030的博客
06-14 576
【国际化新星】y18n - 简洁高效的多语言解决方案 在构建全球化的应用时,本地化和国际化(i18n)成为不可或缺的一环。今天,让我们一起来探索一款轻量级的国际化库——y18n,它凭借其简单易用的特性,在众多开发者中获得了高度评价。 项目介绍 y18n 是由 yargs 团队打造的一款国际化的基础工具库。它旨在提供一种简洁高效的方式来处理应用程序中的字符串翻译与复数形式支持,灵感来源于广为人知的 ...
y18n库:yargs实现国际化基础指南
资源摘要信息:"y18n: yargs使用的国际化库" 在介绍y18n库之前,首先需要了解yargs。yargs是一个在Node.js应用程序中解析命令行参数的工具。它提供了一种简单的方法来创建交互式的命令行界面,并且可以帮助开发者...
y18n: 简洁的国际化库,用于yargs命令行工具
### 知识点:y18n 库与 yargs 在国际化(i18n)中的应用 #### 一、什么是y18n库? y18n库是一个简易的国际化(Internationalization)库,专门用于Node.js应用程序中。它是受到广泛使用的i18n库启发而设计的,提供...
y18n 开源项目教程
gitblog_00625的博客
09-03 449
y18n 开源项目教程 1. 项目的目录结构及介绍 y18n/ ├── CHANGELOG.md ├── LICENSE ├── README.md ├── package.json ├── lib/ │ └── y18n.js └── test/ └── y18n.js CHANGELOG.md: 记录项目的变更历史。 LICENSE: 项目的许可证文件。 README.md: ...
VUE学习(十八) 更新VUE项目中package.json组件的版本
easyboot的专栏
01-10 2129
安装更新组件:npm i -g npm-check-updates。更新VUE项目中package.json组件的版本。使用CMD命令,用管理员打开,在项目录下执行该命令。下面是我执行命令的界面。
安装nvm、node、yarn
qq_37866866的博客
11-17 2210
安装nvm、node、yarn
成功解决使用import或from...import...导入文件时报错
Mamdanni的博客
11-08 3042
出现问题如图所示: 解决方案: 右击python文件所在的文件夹-->找到下方”Mark Directory as“-->点击”Sources Root“ 即可解决,如下图。
使用i18n实现页面国际化
LH9898的博客
05-08 1万+
页面引用的插件 以下是页面引用的js /** * 设置语言类型: 默认为中文 */ var i18nLanguage = "zh-CN"; /* 设置一下网站支持的语言种类 zh-CN(中文简体)、en(英语) */ var webLanguage = ['zh-CN', 'en']; //获取网站语言 function getWebLanguage(){ //
什么是i18n?
yuna4621005的专栏
06-13 3535
i18n是internationalization(国际化)的缩写,首位的i和末尾的n之间有18个字母,所以就简写为i18n了;同样的道理l10n是localization(区域化)的缩写。I18N和L10N深度探险预备知识:无论是I18N还是L10N,从技术角度简单地说,其本质上都是字符编码的问题 
JS中常见的 “函数名 is not a function” 错误
热门推荐
weixin_40345099的博客
09-30 28万+
js中常见的错误,例如Uncaught TypeError: x is not a function 其原因除了函数本身有错之外,还有一种很奇怪的情况:函数本身没有错,但是运行时就是不能正常运行。这种情况与javascript的特性有关:变量与函数声明前置的优先级。 首先看代码: console.log(x) console.log(x()); var x=1; function x(){...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值