深入解析 hapijs/bourne：安全处理 JSON 中的原型问题

什么是原型问题？

在 JavaScript 中，原型问题是一种安全风险，当开发者能够修改对象的原型时，可能会导致意外的行为或安全问题。这种操作通常通过特殊的 JSON 数据实现，特别是包含 __proto__ 属性的对象。

考虑以下示例代码：

const a = '{"__proto__":{ "b":5}}';
const b = JSON.parse(a);
const c = Object.assign({}, b);

console.log(c.b); // 输出 5

在这个例子中，虽然 b.b 是 undefined，但当对象被复制时，__proto__ 属性会泄漏并成为新对象的原型，导致 c.b 返回 5。这就是典型原型问题的表现。

hapijs/bourne 的作用

hapijs/bourne 是一个专门设计用于安全解析 JSON 的库，它提供了多种方法来防止原型问题。与原生 JSON.parse() 不同，bourne 能够检测并处理潜在的 __proto__ 属性。

核心 API 详解

1. Bourne.parse(text, [reviver], [options])

这是 bourne 的主要解析方法，用于将 JSON 字符串转换为 JavaScript 对象。

参数说明：

• text: 要解析的 JSON 字符串
• reviver: 可选参数，与原生 JSON.parse() 的 reviver 函数功能相同
• options: 配置对象，包含以下可选属性：
  • protoAction: 指定如何处理 __proto__ 属性
    • 'error' (默认): 发现 __proto__ 时抛出 SyntaxError
    • 'remove': 自动删除结果对象中的 __proto__ 键
    • 'ignore': 跳过验证，等同于直接使用 JSON.parse()

使用示例：

const Bourne = require('@hapi/bourne');

// 默认情况下会抛出错误
try {
    const obj = Bourne.parse('{"__proto__": {"polluted": true}}');
} catch (err) {
    console.error(err); // 抛出 SyntaxError
}

// 使用 remove 选项自动删除 __proto__ 属性
const safeObj = Bourne.parse('{"__proto__": {"polluted": true}}', null, { protoAction: 'remove' });
console.log(safeObj); // 输出: {}

2. Bourne.scan(obj, [options])

这个方法用于扫描现有对象，检查是否存在原型风险。

参数说明：

• obj: 要扫描的对象
• options: 配置对象，包含以下可选属性：
  • protoAction: 指定如何处理 __proto__ 属性
    • 'error' (默认): 发现 __proto__ 时抛出 SyntaxError
    • 'remove': 自动删除输入对象中的 __proto__ 键

使用场景： 当你从不受信任的来源获取了一个对象，想要确保它不会导致原型问题时，可以使用这个方法。

示例代码：

const untrustedObj = JSON.parse('{"__proto__": {"x": 1}}');

// 扫描并删除 __proto__ 属性
Bourne.scan(untrustedObj, { protoAction: 'remove' });
console.log(untrustedObj); // 输出: {}

3. Bourne.safeParse(text, [reviver])

这是 parse() 方法的安全版本，当发现 __proto__ 属性时不会抛出错误，而是返回 null。

特点：

• 更友好的错误处理方式
• 适合在不希望抛出异常的场景中使用
• 内部使用 protoAction: 'error' 但转换为返回 null

示例代码：

const result = Bourne.safeParse('{"__proto__": {"polluted": true}}');
console.log(result); // 输出: null

const validResult = Bourne.safeParse('{"safe": true}');
console.log(validResult); // 输出: { safe: true }

实际应用建议

1. 处理用户输入的 JSON 数据时：始终使用 bourne 的 parse 或 safeParse 方法替代原生 JSON.parse()

2. 处理第三方 API 响应时：即使 API 声称是可信的，也建议使用 scan 方法进行二次验证

3. 配置选择建议：

   • 在开发环境使用 protoAction: 'error' 以便及时发现潜在问题
   • 在生产环境可以考虑 protoAction: 'remove' 以避免服务中断

4. 性能考虑：

   • parse 和 safeParse 的性能略低于原生 JSON.parse()
   • 仅在处理不受信任的数据时使用 bourne，对完全可信的数据可以直接使用原生方法

总结

hapijs/bourne 为解决 JSON 解析中的原型问题提供了简单而有效的解决方案。通过其提供的三种主要方法，开发者可以根据不同场景选择合适的方式来保护应用免受原型问题。在安全至关重要的应用中，使用 bourne 这样的专用库来处理 JSON 数据是一个值得推荐的最佳实践。