前端开发者常用的 npm 库 Lodash 被爆出存在高严重性安全漏洞——”原型污染“漏洞，该漏洞将威胁超过 400 万个项目的服务安全性。

Lodash 原型污染漏洞详情:

https://snyk.io/blog/snyk-research-team-discovers-severe-prototype-pollution-security-vulnerabilities-affecting-all-versions-of-lodash/

什么是原型污染

理解 JavaScript 原型的概念，像默认值的一样。所有的引用类型（数组、对象、函数），都有一个__proto__，当试图得到一个对象（引用类型包括对象、数组、函数）的某个属性时，如果这个对象本身没有这个属性，那么会去它的__proto__（即它的构造函数的prototype）中寻找。

const a = {};
console.log(a.name); // 输出 undefined
a.__proto__.name = 'messi';
const b = {};
console.log(b.name); // 输出 messi

Lodash 库怎么做到原型污染了

Lodash 库中的函数“defaultsDeep”可能会被欺骗添加或修改原型的属性。

如果你的项目也在使用 Lodash，建议你在官方补丁发布后立即更新 Lodash 库，或手动修补程序。