11. Prototype pollution sources(ソース)のJavaScriptコードを確認する
この時点で、cur には {} で初期化された Object が入っており、
keys にはリクエストパラメータのパラメータ名を分割した配列が入っている。
先の例では、リクエストパラメータ __proto__[html]=
が設定されていたので、
keys は [‘__proto__’, ‘html’] であり、
forループの1周目で cur に {}.__proto__ が代入され、
forループの2周目で {}.__proto__.html = “
” が実行され、プロトタイプ汚染が
成立する。そして、汚染されたプロパティが先述の innerHTML への代入処理において o.html にて参照される。