ReDoc原型污染漏洞分析与修复方案

问题背景

ReDoc是一个流行的API文档生成工具，它能够将OpenAPI/Swagger规范转换为美观的交互式文档。在2.2.0及更早版本中，存在一个对象合并方面的实现问题，可能导致JavaScript对象原型链被意外修改。

问题原理分析

对象合并问题是一种JavaScript特有的实现缺陷，当应用程序将用户提供的属性不经过滤地合并到现有对象时，可能会通过特殊的属性名(如__proto__或constructor.prototype)来影响Object的原型。一旦原型被修改，所有继承自该原型的对象都可能受到影响。

在ReDoc的案例中，问题出在mergeObjects函数(位于redoc/bundles/redoc.lib.js)的实现上。该函数递归地将源对象的属性复制到目标对象，但没有对特殊属性名进行安全检查。

问题影响

该问题的影响范围包括：

1. 所有使用ReDoc 2.2.0及更早版本的应用程序
2. 任何解析外部JSON数据的场景
3. 可能导致多种风险：
   • 应用稳定性问题：通过修改基础方法导致异常
   • 预期外行为：如果应用后续使用被修改的方法
   • 安全问题：如果修改影响DOM操作相关方法

问题验证

通过以下简单的测试代码可以验证问题存在：

(async () => {
  const lib = await import('redoc');
  var TEST_JSON = JSON.parse('{"__proto__":{"modified":true}}');
  var testObj = {}
  console.log("修改前: ", testObj.modified); // undefined
  lib.mergeObjects({}, TEST_JSON);
  console.log("修改后: ", testObj.modified); // true
})();

这段代码展示了如何通过__proto__属性修改所有对象的原型，使得原本不存在的modified属性出现在所有对象上。

修复方案

ReDoc团队通过以下方式解决了该问题：

1. 在合并对象属性前，显式检查属性名是否为__proto__或constructor等特殊属性
2. 使用hasOwnProperty确保只处理对象自身的属性，不处理原型链上的属性
3. 对递归合并操作添加更严格的检查

修复后的版本确保了用户提供的输入数据不会意外修改JavaScript内置对象的原型。

使用建议

对于使用ReDoc的开发者，建议：

1. 立即升级到修复后的版本
2. 在处理任何外部JSON数据时，都应该：
   • 验证数据结构
   • 过滤特殊属性名
   • 使用安全的合并方法
3. 考虑使用Object.freeze()保护重要原型
4. 在CI/CD流程中加入代码质量检查工具检测此类问题

总结

对象合并问题是JavaScript应用中需要注意的实现细节。ReDoc案例展示了即使是流行的开源库也可能存在此类问题。开发者应当理解其原理，在代码中实施防御措施，并及时更新依赖库以获取修复。通过采用良好的编码实践和保持依赖更新，可以显著提高应用的稳定性。