如何借助WeakSet搭建一个防篡改内部对象白名单校验层

WeakSet 适合做内部对象白名单，因其仅接受对象、不阻止垃圾回收、不可遍历且无 size 属性，可实现“存活即合法”的隐式契约；通过闭包封装提供 allow/isAllowed 接口，确保安全校验。

WeakSet 本身不能直接构建“防篡改”的白名单，但它能提供一种轻量、自动清理的内部对象身份校验机制——关键在于利用其 仅接受对象、不保留引用、不可遍历 的特性，把白名单变成“存活即合法”的隐式契约。

为什么 WeakSet 适合做内部对象白名单？

普通 Set 会强引用对象，导致内存泄漏；Map 或 Object 键需手动管理生命周期；而 WeakSet：

• 只接受对象（排除原始值，天然过滤非法输入）
• 不阻止垃圾回收（对象被外部释放后，WeakSet 自动“遗忘”，无需 cleanup）
• 没有 keys()、values()、entries()，无法遍历或导出全部成员（无暴露风险）
• 没有 size 属性，无法获知当前白名单长度（增强隐蔽性）

构建校验层：三步封装

用闭包包裹 WeakSet，暴露最小接口，避免外部篡改或窥探：

const createInternalWhitelist = () => {  const allowed = new WeakSet();  return {    // ✅ 允许注册（仅限对象）    allow(obj) {      if (obj && typeof obj === 'object') {        allowed.add(obj);      }    },    // ✅ 校验是否在白名单中（唯一可公开的判断逻辑）    isAllowed(obj) {      return allowed.has(obj);    },    // ❌ 不提供 clear()、size、forEach 等破坏性/泄露性方法  };};const whitelist = createInternalWhitelist();

典型使用场景示例

比如在类内部限制哪些实例能调用敏感方法：

class InternalService {  constructor() {    // 将 this 加入白名单（仅本实例合法）    whitelist.allow(this);  }  sensitiveAction() {    // 所有调用者必须是已注册的实例    if (!whitelist.isAllowed(this)) {      throw new Error('Illegal invocation: not an authorized instance');    }    console.log('Executing protected logic...');  }}// 外部无法伪造或注入 —— 即使拿到 whitelist 引用，也无法添加任意对象（因为 allow 是闭包内方法），也无法读取已有成员

注意事项与边界提醒

WeakSet 白名单不是银弹，需配合设计约束：

• 它只校验“是否为同一对象引用”，不校验内容或身份标识（如 id 字段）
• 无法用于跨 Realm 对象（如 iframe 中的对象无法被主页面 WeakSet 认可）
• 若需持久化校验（如对象销毁后仍需记录），WeakSet 不适用，应换用 Symbol.for + Map 或其他方案
• 白名单注册时机很重要：必须在对象创建后、对外暴露前完成（例如在构造函数末尾或初始化方法中）

这种模式本质是把“授权”行为下沉到对象创建阶段，并借由 JavaScript 引擎的弱引用机制实现零维护的生命周期同步。不复杂但容易忽略。