Redoc原型污染漏洞分析与修复方案

问题背景

Redoc是一款流行的API文档生成工具，它能够将OpenAPI/Swagger规范转换为交互式文档。在2.2.0及更早版本中，Redoc存在一个对象操作方面的问题，该问题可能导致JavaScript对象的原型链被意外修改，进而引发应用程序行为异常等风险。

问题原理

该问题的核心出在Redoc的mergeObjects函数实现上。该函数用于递归地将源对象的属性复制到目标对象，但在实现过程中缺少了对某些特殊属性的处理机制。

当处理包含特定属性的JSON对象时，通过mergeObjects函数处理后，这些属性可能会影响到JavaScript内置的对象原型。由于JavaScript中所有对象都继承自Object.prototype，这种操作会导致应用程序中所有对象都可能受到影响。

问题影响

该问题的影响范围包括Redoc 2.2.0及之前的所有版本。可能导致：

1. 应用程序异常：通过修改关键原型属性导致应用程序运行不正常
2. 意外行为：在某些特定环境下可能出现非预期的代码执行
3. 界面显示问题：通过修改DOM相关原型属性影响界面显示
4. 逻辑错误：修改应用程序的正常处理逻辑

验证方法

通过以下简单的测试代码可以验证该问题的存在：

(async () => {
  const lib = await import('redoc');
  
  var TEST_JSON = JSON.parse('{"__proto__":{"modified":true}}');
  var victim = {}
  console.log("操作前: ", victim.modified); // undefined
  try {
    lib.mergeObjects({}, TEST_JSON)
  } catch (e) { }
  console.log("操作后: ", victim.modified); // true
})();

执行这段代码后，可以看到原本不存在的modified属性被添加到了所有对象的原型中。

修复方案

Redoc团队通过以下方式解决了该问题：

1. 属性检查：在复制属性前，使用hasOwnProperty检查确保只处理对象自身的属性
2. 特殊属性处理：明确处理__proto__和constructor等特殊属性的赋值

修复后的mergeObjects函数会严格限制只处理目标对象自身的属性，从而防止原型链被意外修改。

使用建议

对于使用Redoc的开发人员，建议：

1. 立即升级到修复后的Redoc版本
2. 在应用程序中谨慎处理JSON数据
3. 实现输入验证，确保数据格式符合预期
4. 考虑使用Object.freeze()保护重要对象

总结

对象操作是JavaScript应用中的重要部分，Redoc的这次问题提醒我们，在处理对象合并操作时必须格外小心。开发者应当了解JavaScript原型链的工作原理，并在涉及对象操作的代码中加入适当的处理逻辑，以防止类似问题的发生。