1995 年 5 月,Brendan Eich 在网景公司的十天内完成了 JavaScript 的设计与实现。他面临一个关键决策:采用传统的类继承模型,还是更灵活的原型继承模型?最终,他选择了后者——受 Self 语言启发的原型继承机制。这个决定深刻影响了此后三十年 JavaScript 的演进轨迹。

当你在浏览器控制台输入 ({}).toString() 时,发生了什么?这个空对象上明明没有 toString 方法,却能够正常调用。答案藏在原型链中——一个由对象链接构成的查找网络,它决定了 JavaScript 中属性的访问路径。

原型链的本质:每个对象的「隐形父亲」

JavaScript 中的每个对象都有一个内部槽(internal slot),称为 [[Prototype]]。这个槽位要么指向另一个对象,要么为 null。当访问对象上不存在的属性时,JavaScript 引擎会自动沿着 [[Prototype]] 链条向上查找,直到找到目标属性或到达链的末端。

ECMAScript 规范明确定义了这个机制:

“每个普通对象都有一个称为 [[Prototype]] 的内部槽。该槽的值要么是 null,要么是一个对象,用于实现继承。”

这个过程可以类比为一种委托机制:对象 A 没有某个属性,就把查找请求「委托」给它的原型对象 B;如果 B 也没有,再委托给 B 的原型……直到某个对象拥有该属性,或者链条终结于 null

原型链查找的数学描述

假设对象 obj 的原型链为:obj → p1 → p2 → ... → null,访问属性 prop 的查找过程可以形式化描述为:

$$ \text{lookup}(obj, prop) = \begin{cases} \text{value} & \text{if } obj \text{ has own property } prop \\ \text{lookup}(obj.[[Prototype]], prop) & \text{if } obj.[[Prototype]] \neq \text{null} \\ \text{undefined} & \text{otherwise} \end{cases} $$

这意味着原型链的查找时间复杂度为 $O(d)$,其中 $d$ 是原型链的深度。对于原型链末端的属性,每次访问都需要遍历整个链条。

Prototype chain lookup mechanism

图片来源: V8.dev - JavaScript engine fundamentals: optimizing prototypes

__proto__prototype[[Prototype]]:三个概念的正确理解

这三个术语经常被混淆,但它们的含义截然不同:

[[Prototype]] 是 ECMAScript 规范中定义的内部槽,它是一个对象的「真实」原型链接。这个槽位无法直接通过 JavaScript 代码访问,但可以通过 Object.getPrototypeOf()Object.setPrototypeOf() 读取和修改。

__proto__ 是一个访问器属性,定义在 Object.prototype 上。它提供了对 [[Prototype]] 的访问接口,但已被标记为废弃。现代代码应该使用 Object.getPrototypeOf() 替代。

prototype 是函数对象特有的属性。当使用 new 操作符调用构造函数时,新创建的对象的 [[Prototype]] 会被设置为该构造函数的 prototype 属性值。

function Person(name) {
  this.name = name;
}
Person.prototype.sayHello = function() {
  return `Hello, I'm ${this.name}`;
};

const alice = new Person('Alice');

// 三者的关系
console.log(Object.getPrototypeOf(alice) === Person.prototype); // true
console.log(alice.__proto__ === Person.prototype); // true (已废弃)
console.log(Person.prototype.isPrototypeOf(alice)); // true

为什么 __proto__ 被废弃

__proto__ 存在几个问题:

  1. 污染风险:如果一个对象的原型链中没有 Object.prototype(例如 Object.create(null)),它就没有 __proto__ 访问器。
  2. 性能问题:通过 setter 修改原型会触发引擎的 deoptimization,因为动态修改原型会破坏优化假设。
  3. 语义混乱:它让开发者误以为原型是一个普通属性,而不是一个特殊的内部链接。

内存效率:原型链的核心价值

原型链不仅仅是一个查找机制,它还是 JavaScript 内存效率的关键。考虑以下两种实现方式的差异:

// 方式一:每个实例都有独立的方法副本
function PersonV1(name) {
  this.name = name;
  this.sayHello = function() {
    return `Hello, I'm ${this.name}`;
  };
}

// 方式二:方法定义在原型上,所有实例共享
function PersonV2(name) {
  this.name = name;
}
PersonV2.prototype.sayHello = function() {
  return `Hello, I'm ${this.name}`;
};

// 创建 10000 个实例
const v1Instances = Array.from({length: 10000}, (_, i) => new PersonV1(`Person${i}`));
const v2Instances = Array.from({length: 10000}, (_, i) => new PersonV2(`Person${i}`));

在方式一中,每个实例都有一个独立的 sayHello 函数对象,总共创建了 10000 个函数。在方式二中,所有实例共享同一个原型上的 sayHello 函数,只创建了一个函数对象。

这种差异在大型应用中尤为显著。React 组件、Vue 实例、Express 中间件——几乎所有 JavaScript 框架都利用原型链来实现方法共享,减少内存占用。

V8 引擎如何优化原型链查找

如果每次属性访问都需要遍历原型链,性能将不可接受。现代 JavaScript 引擎(V8、SpiderMonkey、JavaScriptCore)采用了多种优化技术来加速这个过程。

Shapes(隐藏类)

V8 引擎为每个对象关联一个 Shape(也称为 Hidden Class 或 Map)。Shape 记录了对象的结构信息:有哪些属性、属性的类型、值存储的偏移量等。

Shape optimization

图片来源: V8.dev - JavaScript engine fundamentals: Shapes and Inline Caches

当多个对象具有相同的属性结构时,它们共享同一个 Shape。这不仅节省了内存,还为后续的优化奠定了基础。

Inline Caches(内联缓存)

Inline Cache(IC)是 JavaScript 性能的核心技术。当引擎多次执行同一段访问属性的代码时,它会「记住」上次找到属性的位置,下次直接使用这个信息,避免重复查找。

function getX(obj) {
  return obj.x;
}

// 第一次调用:引擎记录 Shape 和属性偏移量
getX({x: 1, y: 2}); 

// 后续调用:直接使用缓存的偏移量,无需查找
getX({x: 3, y: 4});
getX({x: 5, y: 6});

Inline Cache mechanism

图片来源: V8.dev - JavaScript engine fundamentals: Shapes and Inline Caches

对于原型属性的访问,V8 引入了特殊的优化机制。

ValidityCell:原型链优化的关键

原型属性访问比自有属性访问更复杂,因为原型链可能在运行时被修改。V8 使用 ValidityCell 来处理这个问题。

每个原型对象都有一个关联的 ValidityCell。当原型或其上游原型被修改时,ValidityCell 被标记为无效,导致相关的 Inline Cache 失效。

ValidityCell mechanism

图片来源: V8.dev - JavaScript engine fundamentals: optimizing prototypes

这意味着:修改 Object.prototype 会使整个页面的原型缓存失效。V8 团队明确建议:

“修改 Object.prototype 永远是个坏主意,因为它会使引擎此前建立的所有原型 Inline Cache 失效。”

原型链深度对性能的实际影响

MDN 文档明确警告:

“在原型链上较高位置的属性的查找时间可能对性能产生负面影响。此外,尝试访问不存在的属性将始终遍历整个原型链。”

这是否意味着应该避免深层继承?答案取决于具体场景。

实际测试

// 创建一个 10 层深的原型链
let proto = { method: () => 42 };
for (let i = 0; i < 10; i++) {
  proto = Object.create(proto);
}
const deepObject = Object.create(proto);

// 测试访问时间
console.time('deep lookup');
for (let i = 0; i < 10000000; i++) {
  deepObject.method();
}
console.timeEnd('deep lookup');

// 对比:直接属性访问
const flatObject = { method: () => 42 };
console.time('flat lookup');
for (let i = 0; i < 10000000; i++) {
  flatObject.method();
}
console.timeEnd('flat lookup');

在现代 V8 引擎中,如果 Inline Cache 命中,原型链深度的影响被大大削弱。第一次访问后,引擎缓存了查找路径,后续访问几乎是常数时间。但在以下情况下,性能影响仍然存在:

  1. 首次访问:引擎尚未建立缓存。
  2. 多态代码:传入的对象具有不同的 Shape。
  3. 原型被修改:ValidityCell 失效,需要重新查找。

ES6 Class:语法糖还是新范式?

2015 年,ES6 引入了 class 关键字,引发了一个常见的误解:JavaScript 终于有了「真正的类」。

实际上,ES6 Class 仍然是基于原型的语法糖。考虑以下代码:

// ES6 Class 语法
class Person {
  constructor(name) {
    this.name = name;
  }
  sayHello() {
    return `Hello, I'm ${this.name}`;
  }
}

// 等价的 ES5 原型写法
function Person(name) {
  this.name = name;
}
Person.prototype.sayHello = function() {
  return `Hello, I'm ${this.name}`;
};

Babel 等转译器正是将 Class 转换为原型写法来实现向后兼容。

Class 与原型的细微差异

尽管 Class 本质上是语法糖,但它引入了一些有意义的语义差异:

  1. 不可枚举性:Class 方法默认不可枚举(不会出现在 for...in 循环中),而直接在 prototype 上定义的方法默认可枚举。
  2. new 调用强制:Class 构造函数必须用 new 调用,普通函数可以不用。
  3. extends 语法:提供了更清晰的继承语法,底层仍然是原型链操作。
  4. 私有字段:ES2022 引入的 #privateField 是真正的新特性,无法通过原型机制实现。

原型污染:原型链的安全漏洞

原型链的灵活性带来了一个严重的安全问题:原型污染(Prototype Pollution)。

攻击原理

当用户输入被错误地合并到对象中时,攻击者可能注入 __proto__ 属性,从而污染全局原型:

// 危险的合并函数
function merge(target, source) {
  for (let key in source) {
    target[key] = source[key];
  }
  return target;
}

// 攻击者输入
const maliciousInput = JSON.parse('{"__proto__": {"isAdmin": true}}');

// 执行合并
const userConfig = {};
merge(userConfig, maliciousInput);

// 结果:所有对象都继承了 isAdmin: true
console.log({}.isAdmin); // true!

Prototype pollution attack

图片来源: PortSwigger - What is prototype pollution?

防护措施

  1. 使用 Object.create(null):创建没有原型的对象,从根本上切断原型链。
const safeMap = Object.create(null);
safeMap.key = 'value';
// safeMap 没有 __proto__ 访问器,也没有继承任何属性

  1. 冻结原型:使用 Object.freeze(Object.prototype) 防止原型被修改。

  2. 使用 Map 代替 Object:Map 的键可以是任意值,不会触发原型链查找。

  3. 验证输入键:在合并对象前,检查键是否为 __proto__constructorprototype

OWASP 已经将原型污染防护纳入安全清单,提供了详细的防御指南。

in 操作符与 hasOwnProperty:原型链检测的艺术

检查属性存在性时,理解 in 操作符和 hasOwnProperty 的区别至关重要:

const obj = { a: 1 };
obj.__proto__ = { b: 2 };

console.log('a' in obj);                      // true(自有属性)
console.log('b' in obj);                      // true(继承属性)
console.log(obj.hasOwnProperty('a'));         // true
console.log(obj.hasOwnProperty('b'));         // false
console.log(Object.hasOwn(obj, 'a'));         // true(ES2022 推荐方式)
console.log(Object.hasOwn(obj, 'b'));         // false

in 操作符遍历整个原型链,而 hasOwnProperty 只检查对象本身。ES2022 引入的 Object.hasOwn() 是更安全的替代方案,它不依赖 Object.prototype,可以正确处理 Object.create(null) 创建的对象。

instanceof 的实现原理

instanceof 操作符的实现本质上就是原型链遍历:

// instanceof 的等效实现
function instanceOf(obj, constructor) {
  let proto = Object.getPrototypeOf(obj);
  while (proto !== null) {
    if (proto === constructor.prototype) {
      return true;
    }
    proto = Object.getPrototypeOf(proto);
  }
  return false;
}

console.log([] instanceof Array);    // true
console.log([] instanceof Object);   // true
console.log(instanceOf([], Array));  // true

instanceof 检查的是构造函数的 prototype 是否出现在对象的原型链中。这也解释了为什么 [] instanceof Object 返回 true——数组的原型链最终指向 Object.prototype

调试原型链:开发者工具的正确使用

Chrome DevTools 和 Firefox 开发者工具都提供了查看原型链的功能。

控制台方法

// 查看对象的原型
const obj = {};
console.log(Object.getPrototypeOf(obj));          // {}
console.log(Object.getPrototypeOf(obj) === Object.prototype); // true

// 检查原型链深度
function getPrototypeDepth(obj) {
  let depth = 0;
  let current = obj;
  while (Object.getPrototypeOf(current) !== null) {
    depth++;
    current = Object.getPrototypeOf(current);
  }
  return depth;
}

console.log(getPrototypeDepth({}));              // 1
console.log(getPrototypeDepth(new Date()));       // 2
console.log(getPrototypeDepth(document.createElement('a'))); // DOM 元素通常有多层原型链

DevTools 可视化

在 Chrome DevTools 的 Console 中展开对象,__proto__ 属性(显示为 [[Prototype]])展示了原型链结构。这是理解复杂继承关系的直观方式。

原型链的最佳实践

基于对原型链底层机制的理解,可以总结出以下最佳实践:

避免修改内置原型:永远不要扩展 Object.prototypeArray.prototype 等内置对象。这不仅可能导致命名冲突,还会破坏引擎优化。

保持原型链简洁:过深的继承层次会增加查找开销,降低代码可读性。优先使用组合(composition)而非深层继承。

初始化对象时保持一致性:以相同的顺序添加相同的属性,确保对象共享 Shape,使 Inline Cache 更有效。

使用 Object.create(null) 创建纯字典:当对象用作键值映射时,消除原型链可以避免意外的方法名冲突,也防止原型污染攻击。

优先使用 Object.getPrototypeOf() 而非 __proto__:前者是标准方法,后者已废弃。

理解 ES6 Class 的本质:Class 是语法糖,理解其背后的原型机制有助于写出更好的代码。

尾声

从 1995 年 Brendan Eich 的十天创造,到 2025 年 V8 引擎的精密优化,原型链经历了三十年的演进。它既是 JavaScript 灵活性的源泉,也是许多开发者困惑的根源。

理解原型链不仅仅是理解一个语言特性,更是理解 JavaScript 的设计哲学:一种动态的、委托式的、基于对象的编程范式。当我们理解了 [[Prototype]] 如何工作、V8 如何优化属性查找、原型污染如何发生,我们才能真正驾驭这门语言。

下次当你写下 obj.method() 时,记得:一个看不见的查找链正在工作,而现代引擎已经为你做好了优化。

参考文献与延伸阅读