prototype汚染攻撃
#Node.js
#セキュリティ
#Deno
Deno
Deno
ではデフォルトで
Object.prototype.__proto__
が削除されています。(
--unstable-sloppy-imports
でこの挙動は無効化可能)
パッケージ
bourne
JSON.parse() drop-in replacement with prototype poisoning protection
fastify
が利用している。
参考
JavaScript Prototype Poisoning Vulnerabilities in the Wild
JavaScriptのプロトタイプ汚染攻撃対策は難しい