之前的43条,44条讨论了属性的枚举,但都没有彻底地解决属性查找中原型污染的问题。看下面关于字典的一些操作

'zhangsan' in dict;

dict.zhangsan;

dict.zhangsan=22;

js的对象操作总是经继承的方式工作的。即使是一个空的对象字面量也是继承了Object.protoype属性。

var dict={};

'zhangsan' in dict;//false

'lisi' in dict;//false

'wangwu' in dict;//false'

toString' in dict;//true'

valueOf' in dict;//true

无法避免从Object.prototype对象继承方法。

去除原型污染

Object.prototype提供了hasOwnProperty方法。当测试字典条目时,它可以避免原型污染,这正好可以解决之前的问题。看一段代码

dict.hasOwnProperty('zhangsan');//false

dict.hasOwnProperty('toString');//false

dict.hasOwnProperty('valueOf');//false

可以利用上面代码的特性,来对属性查找使用,可以避免其受原型污染

dict.hasOwnProperty('zhangsan')?dict.hasOwnProperty('zhangsan'):undefined;

dict.hasOwnProperty('x')?dict.hasOwnProperty('x'):undefined;

这里还有一个问题,我们是使用dict对象的hasOwnProperty方法,但其实它自身并没有这个方法,而是继承自Object.prototype对象。如果dict字典对象有一个同为"hasOwnProperty"名称的属性,那么原型中的hasOwnProperty方法不会被访问到。这里会优先读取自身包含的属性,找不到才会从原型链中查找。

dict.hasOwnProperty=10;

dict.hasOwnProperty('zhangsan');//这里会产生一个错误

虽然字典很少会存储这样的属性名。但小概率事件也会发生,因为你不知道处理的数据,是不是来自第三方。下面就介绍一种最安全的方法,不做任何假设。这里不用字典对象来访问hasOwnProperty方法,可能被改写。

使用Object.prototpye.hasOwnProperty

这里直接使用Object.prototype中的hasOwnProperty方法,然后使用函数的call方法,把函数的接收者绑定到字典对象。
首先,先提取出hasOwnProperty方法

var hasOwn=Object.prototype.hasOwnProperty;



var hasOwn={}.hasOwnProperty;

然后,确定函数运行的接收者,使用call方法来指定

hasOwn.call(dict,'zhangsan');

这里就可以安全地调用Object.prototype.hasOwnProperty方法来对字典对象的属性名进行检测了。

var dict={};

dict.zhangsan=12;

hasOwn.call(dict,'hasOwnProperty');//false

hasOwn.call(dict,'zhangsan');//true

dict.hasOwnProperty=10;

hasOwn.call(dict,'hasOwnProperty');//true

hasOwn.call(dict,'zhangsan');//true

为了避免所以地方都插入上面的检测代码,可以把该模式抽象为Dict的方法。

Dict初级版

Dict构造函数封装了所有在单一数据类型定义中编写健壮字典的技术细节。代码好下

function Dict(elements){

    this.elements=elements||{};

}

Dict.prototype.has=function(key){

    return {}.prototype.hasOwnProperty.call(this.elements,key);

};

Dict.prototype.get=function(key){

    return this.has(key)?this.elements[key]:undefined;

};

Dict.prototype.set=function(key,val){

    this.elements[key]=val;

};

Dict.prototype.remove=function(key){

    delete this.elements[key];

};

这样的实现比使用js默认的对象语法更健壮,而且也同样方便使用。

var dict=new Dict({

    zhangsan:12,

    lisi:23,

    wangwu:40

});

dict.has('zhangsang');//true

dict.has('lisi');//true

dict.has('toString');//false

__proto__自身污染

之前在44条中提到,在一些特殊js环境中,特殊的属性名__proto__可能导致自身的污染问题。在某些环境中,__proto__只是简单地继承自Object.prototype,因此空对象是真正的空对象。
一些环境下

var empty=Object.create(null);

'__proto__' in empty;//false

var hasOwn={}.hasOwnProperty;

hasOwn.call(empty,'__proto__');//false

在其它环境下

var empty=Object.create(null);

'__proto__' in empty;//true

var hasOwn={}.hasOwnProperty;

hasOwn.call(empty,'__proto__');//false

某些环境下
因为存在一个实例属性__proto__而永久污染所有的对象

var empty=Object.create(null);

'__proto__' in empty;//true

var hasOwn={}.hasOwnProperty;

hasOwn.call(empty,'__proto__');//true

在不同的环境中,__proto__的值无法确定

var dict=new Dict();

dict.has('__proto__');//无法确定

为了达到代码的可移植性和安全性,只能对__proto__关键字增加一些操作。

Dict最终版

下面就是Dict更安全、更复杂的最终实现。

function Dict(elements){

    this.elements=elements||{};

    this.hasSpecialProto=false;

    this.specialProto=undefined;

}

Dict.prototype.has=function(key){

    if(key === '__proto__'){

        return this.hasSpecialProto;

    }

    return {}.prototype.hasOwnProperty.call(this.elements,key);

};

Dict.prototype.get=function(key){

    if(key === '__proto__'){

       return this.specialProto;

    }

    return this.has(key)?this.elements[key]:undefined;

};

Dict.prototype.set=function(key,val){

    if(key === '__proto__'){

        this.hasSpecialProto=true;

        this.specialProto=val;

    }else{

        this.elements[key]=val;

    }

};

Dict.prototype.remove=function(key){

    if(key === '__proto__'){

        this.hasSpecialProto=false;

        this.specialProto=undefined;

    }else{

        delete this.elements[key];

    }

};

不管环境处不处理__proto__属性,以上代码都能工作。

var dict=new Dict();

dict.has('__proto__');//false

提示

  • 使用hasOwnProperty方法避免原型污染

  • 使用词法作用域和call方法避免覆盖hasOwnProperty方法

  • 考虑在封装hasOwnProperty测试样板代码的类中实现字典操作

  • 使用字典类避免将'__proto__'作为key来使用

[Effective JavaScript 笔记]第45条:使用hasOwnProperty方法以避免原型污染的更多相关文章

  1. [Effective JavaScript 笔记]第50条:迭代方法优于循环

    "懒"程序员才是好程序员.复制和粘贴样板代码,一但代码有错误,或代码功能修改,那么程序在修改的时候,程序员需要找到所有相同功能的代码一处处进行修改.这会使人重复发明轮子,而且在别人 ...

  2. [Effective JavaScript 笔记] 第4条:原始类型优于封闭对象

    js有5种原始值类型:布尔值.数字.字符串.null和undefined. 用typeof检测一下: typeof true; //"boolean" typeof 2; //&q ...

  3. [Effective JavaScript 笔记] 第5条:避免对混合类型使用==运算符

    “1.0e0”=={valueOf:function(){return true;}} 是值是多少? 这两个完全不同的值使用==运算符是相等的.为什么呢?请看<[Effective JavaSc ...

  4. [Effective JavaScript 笔记]第27条:使用闭包而不是字符串来封装代码

    函数是一种将代码作为数据结构存储的便利方式,代码之后可以被执行.这使得富有表现力的高阶函数抽象如map和forEach成为可能.它也是js异步I/O方法的核心.与此同时,也可以将代码表示为字符串的形式 ...

  5. [Effective JavaScript 笔记]第28条:不要信赖函数对象的toString方法

    js函数有一个非凡的特性,即将其源代码重现为字符串的能力. (function(x){ return x+1 }).toString();//"function (x){ return x+ ...

  6. [Effective JavaScript 笔记]第20条:使用call方法自定义接收者来调用方法

    不好的实践 函数或方法的接收者(即绑定到特殊关键字this的值)是由调用者的语法决定的.方法调用语法将方法被查找的对象绑定到this变量,(可参阅之前文章<理解函数调用.方法调用及构造函数调用之 ...

  7. [Effective JavaScript 笔记]第35条:使用闭包存储私有数据

    js的对象系统并没有特别鼓励或强制信息隐藏.所有的属性名都是一个字符串,任意一个程序都可以简单地通过访问属性名来获取相应的对象属性.例如,for...in循环.ES5的Object.keys()和Ob ...

  8. [Effective JavaScript 笔记]第41条:将原型视为实现细节

    对象原型链 一个对象给其使用者提供了轻量.简单.强大的操作集.使用者与一个对象最基本的交互是获取其属性值和调用其方法.这些操作不是特别在意属性存储在原型继承结构的哪个位置.随着时间推移,实现对象时可能 ...

  9. [Effective JavaScript 笔记]第43条:使用Object的直接实例构造轻量级的字典

    js对象的核心是一个字符串属性名与属性值的映射表.使用对象实现字典易如反掌,字典是可变长的字符串与值的映射集合. for...in js提供了枚举一个对象属性名的利器--for...in循环. var ...

随机推荐

  1. java并发编程(一)可重入内置锁

    每个Java对象都可以用做一个实现同步的锁,这些锁被称为内置锁或监视器锁.线程在进入同步代码块之前会自动获取锁,并且在退出同步代码块时会自动释放锁.获得内置锁的唯一途径就是进入由这个锁保护的同步代码块 ...

  2. [转]RMAN检测数据库坏块

    backup validate check logical database; select * from v$database_block_corruption; RMAN> backup v ...

  3. 浅谈iOS触摸事件理解

    iOS的触摸事件个人总结,分为两步: 第一步:是找到哪个视图上触摸 第二步:分析由谁去响应(响应者连) 1.寻找被触摸的视图原理如下图 hitText:withEvent:的方法处理流程: 首先会在当 ...

  4. C fopen

    格式:文件指针名=fopen(文件名,使用文件方式) 参数:文件名 意义"C://TC//qwe.txt" 文件C:/TC/qwe.txt"qwe.txt" 和 ...

  5. 【30集iCore3_ADP出厂源代码(ARM部分)讲解视频】30-1 前言

    视频简介: 该视频介绍收到iCore3应用开发平台后如何获取出厂代码,以 及如何下载出厂代码到应用开发平台中. 源视频包下载地址: http://pan.baidu.com/s/1nuUZW17   ...

  6. 【iCore3应用开发平台】发布 iCore3 应用开发平台PID控制代码

    说明:1.本代码包包含FPGA和STM32F407两部分内容2.FPGA工程为出厂代码FPGA工程,版本为REV43.STM32F407为只含PID控制的ARM工程4.在使用风扇过程中,请勿将手伸入扇 ...

  7. Xamarin.Android Binding

    0.要绑定的jar库,需要保证编译jar使用的jdk版本,与绑定时xamarin使用的jdk版本一致. 查看编译jar的jdk版本的方法:jar解压后,a.看MANIFEST.MF  b. javap ...

  8. [lua]安卓ndk如何编译lua库

    这里说的lua库是标准lua库,不包含tolua,不包含cocos2dx的各种lua扩展,是干净的lua. 参考: http://stackoverflow.com/questions/1229965 ...

  9. python学习道路(day3note)(元组,字典 ,集合,字符编码,文件操作)

    1.元组()元组跟列表一样,但是不能增删改,能查.元组又叫只读列表2个方法 一个 count 一个 index2.字典{}字典是通过key来寻找value因为这里功能比较多,所以写入了一个Code里面 ...

  10. 自动化服务安装部署工具-Ansible

    自动化运维工具Ansible详细部署 ================================================================================= ...