Object.assign はプロトタイプ汚染攻撃に対して安全

古いlodash#merge()にはプロトタイプ汚染に対する脆弱性(修正済み)がありましたが、Object.assign() の動作について調べてみました。

var a = {};
console.log(Object.assign({},JSON.parse(`{"__proto__":{"foo":"bar"},"a":"b"}`)));
console.log(a.foo);
{a: "b"}
undefined

よかった!安全ですね。

こちらを参照ください

qiita.com

参考