Bezpieczne wartości w obiektach z wykorzystaniem nawiasów

Question

Witam, mój skrypt wczytuje zmienne od różnych użytkowników przez JSON.

robi to w sposób przedstawiony poniżej (przykład w dużym uproszczeniu)

 

const varsFromUsers = [
  {key:'gold',value:'200'},
  {key:'hp',value:'100'},
  {key:'time',value:'800'}
]

gameVars = {};

varsFromUsers.forEach((e)=>{

gameVars[e.key] = e.value;

})


// teraz zmienne gameVars są używane w projekcie.

Zmienne od użytkowników mogą mieć różne nazwy i wartości, ale wszystkie muszą być typu string, problem w tym że w ten sposób nazywając zmienną np. "__proto__" można uzyskać dostęp do jej rodzica/ obiektu nadrzędnego i myślę że jest to mało bezpieczne.

 

Jak się przed tym zabezpieczyć? Czy może zmienne od użytkowników ładować, przechowywać w inny sposób niż przez obiekt z wykorzystaniem nawiasów klamrowych?

Answer 1

Sprawdzaj dane które dostajesz od użytkownika, np. przy użyciu RegExpów  ¯\\\_(ツ)\_/¯ 

Comments

metody nadrzędnych obiektów w projekcie ciągle się zmieniają i ich własności ponieważ dziedziczy on jeszcze po obiektach projektu, dlatego nie można ustalić zabronionych nazw, a __proto__ był przykładem.

Myślę nad bezpieczniejszym wypisaniem kluczy/wartości tylko dla samego obiektu bez jego rodziców, dobrym byłoby użycie metod typu Values and Keys? One chyba nie ingerują w rodziców.

Answer 2

Podbijam jeśli można, nie otrzymałem odpowiedzi a pytanie nadal aktualne.

Answer 3

Ale zabezpieczyć przed czym? Wszystko co jest na froncie można zmienić, napiszesz funkcje, którą będziesz sprawdzał zawartość i co z tego? Każdy może przejrzeć skrypty wykonywane w przeglądarce i je zmodyfikować.

Takie rzeczy powinny pochodzić z serwera. Jeśli trzymasz po stronie klienta postęp gry czy ilość złota to nic nie stanie na przeszkodzie żeby to zmodyfikować.

Każda walidacja danych po stronie klienta jest jedynie w celu ulepszenia UX.