Object.assign はプロトタイプ汚染攻撃に対して安全
古いlodash#merge()
にはプロトタイプ汚染に対する脆弱性(修正済み)がありましたが、Object.assign()
の動作について調べてみました。
var a = {}; console.log(Object.assign({},JSON.parse(`{"__proto__":{"foo":"bar"},"a":"b"}`))); console.log(a.foo);
{a: "b"} undefined
よかった!安全ですね。
こちらを参照ください