JavaScript ( (__ = !$ + $)[+$] + ({} + $)[_/_] +({} + $)[_/_] )

 更新时间:2011年02月25日 23:37:33   作者:  
今天在网上看到一篇很有意思的文章(需翻墙),解释了几段非常有趣的 JavaScript 代码。你猜下面这段 JavaScript 代码是什么意思?
复制代码 代码如下:

($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+
($$=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__
[_+~$]+$_[_]+$$](_/_)

注意,上面这段看起来很混乱的代码并不是自动换行,而是三行(当然,你写在同一行也没有错)。编写一个页面运行一下(据说 IE 下不行),你就会发现这段代码的功能等同于
alert(1)
为什么会这样呢?我们来把这段代码拆开来分析。
$=[] // $ 被赋值为一个空数组,所以 !$ 的值为 false.
__ = !$ + $ // 加号会把 !$ 和 $ 都转换成字符串,所以 __ 的值变成了字符串 “false”
_ = -~-~-~$ // 这里有一个 ~ 操作符,它表示 -($+1),所以 -~$ 的值为 1. _ 的值为 3.
由此可以推导:
复制代码 代码如下:

(__ = !$ + $ )[ _ = -~-~-~$] => (”false”)[_] => (”false”)[3] => “false”[3] = “s”
({} + $)[_/_] => (”[object Object]“)[_/_] => (”[object Object]“)[1] => “[object Object]“[1] = “o”

接下来再拆 $$=($_=!”+$)[_/_]+$_[+$] :
$_=!”+$ // 注意,!” 中是两个单引号,也就是对一个空字符串做非运算。所以变量 $_ 被赋值为字符串 “true”。
由此可推:
$$=($_=!”+$)[_/_]+$_[+$] => $$ = ( “true”)[1] + “true”[0] => “r” + “t” = “rt”
所以 (__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!”+$)[_/_]+$_[+$]) 就是 “s” + “o” + “rt” ,也就是 “sort”.
所以原来的表达式
复制代码 代码如下:

($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+
($$=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__
[_+~$]+$_[_]+$$](_/_)

可以被替换成:
复制代码 代码如下:

($=[[]]["sort"])()[__[_/_]+__
[_+~$]+$_[_]+$$](_/_)

接下来我们看 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) 是什么东西。
前面我们已经得知:
__ = “false”
_ = 3
~$ = -1
$_ = “true”
$$ = “rt”
所以 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) => ["false"[1] + “false”[3-1] + “true”[3] + “rt”](3/3) => ["a" + "l" + "e" + "rt"](1) => ["alert"](1)
所以原来的表达式最终可以被替换成:
($=[[]]["sort"])()["alert"](1)
这段代码是如何执行的呢?我们来逐步分析:
a = [[]] // 创建一个数组
b = a["sort"] // 获取数组的 sort 方法
c = b() // 调用数组的 sort 方法,这里 b() 返回的是 window 对象
d = c["alert"] // 获取 window.alert 方法
d(1) // 调用 window.alert 方法。
所以这堆乱七八遭的表达式最终的执行结果就是 window.alert(1).
更多 请看原文 和 Reddit上的讨论。
原文评论里也有人贴出了一个日本开发者写的小工具,可以把一段 JavaScript 代码编码成各种表情符号,而且可以执行,enjoy it.
BTW, 上面这段代码除了做 XSS 攻击之外作用不大,但是可以从分析这段代码学习一点儿数据类型转换相关的东西,也可以领略到 JavaScript 的灵活。
详细代码解析:
复制代码 代码如下:

(
$=[$=[]] // $ = []
[
(__= !$ + $) // __ = "false"
[_=-~-~-~$] // _ = 3
// (__)[3] = "s"
+
({} + $) // ({} + $) = [object Object]
[_/_] // _/_ = 1
+ // ([object Object])[1] = "o"
($$ = //
($_=!'' + $) // !''+ $ = "true" ; $_ = "true"
[_/_] // _/_ = 1;
// $_[1] = "r"
+
$_[+$] // +$ = 0; $_[0] = "t"
) // $$= "rt"
] // ["sort"]
// []["sort"] = [].sort = function sort() { [native code] }
// $ = []["sort"]
)() // ($)() = [object Window]
[
__[_/_] // __ = "false";
// __[1] = "a"
+
__ [_+~$] //_ = 3; ~$ = -1; _ + ~$ = 2
// __[2] = "l"
+
$_[_] // $_ = "true" ; _ = 3;
// $_[3] = "e"
+
$$ // $$ = "rt"
](_/_); // _ / _ = 1
// window["alert"](1)

这里需要注意的几点:
1. javascript 里面 $, _ 均可以作为变量名
2. 函数还可以这样调用: 比如 [1,2,4,1,9,1].sort() 可以写成 [1,2,4,1,9,1]["sort"]();
3. ~ 对数字按位取反
4. javascript 中在对不同类型的变量 使用 + 时候的规则
5. 最后一个针对某些native code写的方法,执行会返回 window对象, 比如
var s = [].sort ; t=s(); 则 t 是 window

相关文章

  • js实现圆形菜单选择器

    js实现圆形菜单选择器

    这篇文章主要为大家详细介绍了js实现圆形菜单选择器,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2020-12-12
  • 基于BootStrap Metronic开发框架经验小结【七】数据的导入、导出及附件的查看处理

    基于BootStrap Metronic开发框架经验小结【七】数据的导入、导出及附件的查看处理

    在很多系统模块里面,我们可能都需要进行一定的数据交换处理,这样可以很好的达到用户操作体验感,接下来通过本文给大家介绍基于BootStrap Metronic开发框架经验小结【七】数据的导入、导出及附件的查看处理相关知识,非常具有参考价值,感兴趣的朋友一起学习吧
    2016-05-05
  • 漂亮的widgets,支持换肤和后期开发新皮肤

    漂亮的widgets,支持换肤和后期开发新皮肤

    漂亮的widgets,支持换肤和后期开发新皮肤...
    2007-04-04
  • 使用 bootstrap modal遇到的问题小结

    使用 bootstrap modal遇到的问题小结

    bootstrap提供了一个写好的css文件和js文件然而在使用时遇到了一下并不是很好的问题,今天在使用弹出对话框时遇到了一个这样的问题,今天小编给大家分享下使用 bootstrap modal遇到的问题小结,一起看看吧
    2016-11-11
  • JavaScript 小型打飞机游戏实现原理说明

    JavaScript 小型打飞机游戏实现原理说明

    这次为大家带来的小游戏是:打飞机。呃。。。我本人就写不出什么惊天大作的游戏的了,只能写写小游戏,代码量小,又可以学习,主要是想法思路,代码量大,估计也没啥人会去研究学习。。。
    2010-10-10
  • 微信小程序动画(Animation)的实现及执行步骤

    微信小程序动画(Animation)的实现及执行步骤

    这篇文章主要介绍了微信小程序动画(Animation) 的实现及执行步骤,需要的朋友可以参考下
    2018-10-10
  • TypeScript中class类型实例讲解

    TypeScript中class类型实例讲解

    众所周知在TypeScript中定义变量需要指定标识符的类型,下面这篇文章主要给大家介绍了关于TypeScript中class类型的相关资料,文中通过实例代码介绍的非常详细,需要的朋友可以参考下
    2022-12-12
  • js 处理数组重复元素示例代码

    js 处理数组重复元素示例代码

    数组重复元素如何处理,这是在项目实战中经常遇到的,针对这个问题,下文给出详细解决方法,希望对大家有所帮助
    2013-12-12
  • JavaScript 中的 parseInt() 函数详解

    JavaScript 中的 parseInt() 函数详解

    parseInt函数将其第一个参数转换为一个字符串,对该字符串进行解析,然后返回一个整数或 NaN,这篇文章主要介绍了JavaScript 的 parseInt() 函数,需要的朋友可以参考下
    2023-05-05
  • JavaScript 监听组合按键思路及代码实现

    JavaScript 监听组合按键思路及代码实现

    这篇文章主要介绍了JavaScript 监听组合按键思路及代码实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2020-07-07

最新评论