编程 Javascript

JavaScript ( (__ = !$ + $)[+$] + ({} + $)[_/_] +({} + $)[_/_] )

Posted in Javascript onFebruary 25, 2011

($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+ 
($$=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__ 
[_+~$]+$_[_]+$$](_/_)

注意，上面这段看起来很混乱的代码并不是自动换行，而是三行（当然，你写在同一行也没有错）。编写一个页面运行一下（据说 IE 下不行），你就会发现这段代码的功能等同于
alert(1)
为什么会这样呢？我们来把这段代码拆开来分析。
$=[] // $ 被赋值为一个空数组，所以 !$ 的值为 false.
__ = !$ + $ // 加号会把 !$ 和 $ 都转换成字符串，所以 __ 的值变成了字符串 “false”
_ = -~-~-~$ // 这里有一个 ~ 操作符，它表示 -($+1)，所以 -~$ 的值为 1. _ 的值为 3.
由此可以推导：

(__ = !$ + $ )[ _ = -~-~-~$] => (”false”)[_] => (”false”)[3] => “false”[3] = “s” 
({} + $)[_/_] => (”[object Object]“)[_/_] => (”[object Object]“)[1] => “[object Object]“[1] = “o”

接下来再拆 $$=($_=!”+$)[_/_]+$_[+$] ：
$_=!”+$ // 注意，!” 中是两个单引号，也就是对一个空字符串做非运算。所以变量 $_ 被赋值为字符串 “true”。
由此可推：
$$=($_=!”+$)[_/_]+$_[+$] => $$ = ( “true”)[1] + “true”[0] => “r” + “t” = “rt”
所以 (__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!”+$)[_/_]+$_[+$]) 就是 “s” + “o” + “rt” ，也就是 “sort”.
所以原来的表达式

($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+ 
($$=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__ 
[_+~$]+$_[_]+$$](_/_)

可以被替换成：

($=[[]]["sort"])()[__[_/_]+__ 
[_+~$]+$_[_]+$$](_/_)

接下来我们看 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) 是什么东西。
前面我们已经得知：
__ = “false”
_ = 3
~$ = -1
$_ = “true”
$$ = “rt”
所以 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) => ["false"[1] + “false”[3-1] + “true”[3] + “rt”](3/3) => ["a" + "l" + "e" + "rt"](1) => ["alert"](1)
所以原来的表达式最终可以被替换成：
($=[[]]["sort"])()["alert"](1)
这段代码是如何执行的呢？我们来逐步分析：
a = [[]] // 创建一个数组
b = a["sort"] // 获取数组的 sort 方法
c = b() // 调用数组的 sort 方法，这里 b() 返回的是 window 对象
d = c["alert"] // 获取 window.alert 方法
d(1) // 调用 window.alert 方法。
所以这堆乱七八遭的表达式最终的执行结果就是 window.alert(1).
更多请看原文和 Reddit上的讨论。
原文评论里也有人贴出了一个日本开发者写的小工具，可以把一段 JavaScript 代码编码成各种表情符号，而且可以执行，enjoy it.
BTW, 上面这段代码除了做 XSS 攻击之外作用不大，但是可以从分析这段代码学习一点儿数据类型转换相关的东西，也可以领略到 JavaScript 的灵活。
详细代码解析:

( 
$=[$=[]] // $ = [] 
[ 
(__= !$ + $) // __ = "false" 
[_=-~-~-~$] // _ = 3 
// (__)[3] = "s" 
+ 
({} + $) // ({} + $) = [object Object] 
[_/_] // _/_ = 1 
+ // ([object Object])[1] = "o" 
($$ = // 
($_=!'' + $) // !''+ $ = "true" ; $_ = "true" 
[_/_] // _/_ = 1; 
// $_[1] = "r" 
+ 
$_[+$] // +$ = 0; $_[0] = "t" 
) // $$= "rt" 
] // ["sort"] 
// []["sort"] = [].sort = function sort() { [native code] } 
// $ = []["sort"] 
)() // ($)() = [object Window] 
[ 
__[_/_] // __ = "false"; 
// __[1] = "a" 
+ 
__ [_+~$] //_ = 3; ~$ = -1; _ + ~$ = 2 
// __[2] = "l" 
+ 
$_[_] // $_ = "true" ; _ = 3; 
// $_[3] = "e" 
+ 
$$ // $$ = "rt" 
](_/_); // _ / _ = 1 
// window["alert"](1)

这里需要注意的几点:
1. javascript 里面 $, _ 均可以作为变量名
2. 函数还可以这样调用: 比如 [1,2,4,1,9,1].sort() 可以写成 [1,2,4,1,9,1]["sort"]();
3. ~ 对数字按位取反
4. javascript 中在对不同类型的变量使用 + 时候的规则
5. 最后一个针对某些native code写的方法，执行会返回 window对象，比如
var s = [].sort ; t=s(); 则 t 是 window

JavaScript ( (__ = !$ + $)[+$] + ({} + $)[_/_] +({} + $)[_/_] )

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Javascript 相关文章推荐

JavaScript高级程序设计读书笔记之九本地对象Array

Feb 27 Javascript

javascript实现避免页面按钮重复提交

Jan 08 Javascript

js点击返回跳转到指定页面实现过程

Aug 20 Javascript

jquery实现上传文件大小类型的验证例子(推荐)

Jun 25 Javascript

jQuery属性选择器用法示例

Sep 09 Javascript

Javascript中常见的逻辑题和解决方法

Sep 17 Javascript

JavaScript每天必学之事件

Sep 18 Javascript

JS实现的DIV块来回滚动效果示例

Feb 07 Javascript

jQuery插件FusionWidgets实现的Bulb图效果示例【附demo源码下载】

Mar 23 jQuery

JavaScript中toLocaleString()和toString()的区别实例分析

Aug 14 Javascript

javascript实现时间日期的格式化的方法汇总

Aug 06 Javascript

JS中锚点链接点击平滑滚动并自由调整到顶部位置

Feb 06 Javascript

Javascript中定义方法的另类写法(批量定义js对象的方法)

Feb 25 #Javascript

23个Javascript弹出窗口特效整理

Feb 25 #Javascript

Easy.Ajax 部分源代码支持文件上传功能，兼容所有主流浏览器

Feb 24 #Javascript

dojo随手记 gird组件引用

Feb 24 #Javascript

浏览器常用高宽的jquery插件

Feb 24 #Javascript

基于jquery的横向滚动条（滑动条）

Feb 24 #Javascript

基于JQuery的日期联动实现代码

Feb 24 #Javascript

You might like

PHP Memcached + APC + 文件缓存封装实现代码

2010/03/11 PHP

PHP获得数组交集与差集的方法

2015/06/10 PHP

php array_keys 返回数组的键名

2016/10/25 PHP

PHP7原生MySQL数据库操作实现代码

2020/07/03 PHP

IE8 下的Js错误HTML Parsing Error...

2009/08/14 Javascript

基于React.js实现原生js拖拽效果引发的思考

2016/03/30 Javascript

jQuery Raty 一款不错的星级评分插件

2016/08/24 Javascript

JS常用倒计时代码实例总结

2017/02/07 Javascript

浅谈JS中的反柯里化( uncurrying)

2017/08/17 Javascript

利用javascript如何随机生成一定位数的密码

2017/09/22 Javascript

微信小程序使用input组件实现密码框功能【附源码下载】

2017/12/11 Javascript

小程序云开发初探(小结)

2018/10/24 Javascript

利用Dectorator分模块存储Vuex状态的实现

2019/02/05 Javascript

jquery实现动态改变css样式的方法分析

2019/05/27 jQuery

vue 解决mintui弹窗弹起来,底部页面滚动bug问题

2020/11/12 Javascript

Python随机生成信用卡卡号的实现方法

2015/05/14 Python

详解python中asyncio模块

2018/03/03 Python

python绘制立方体的方法

2018/07/02 Python

python 实现分页显示从es中获取的数据方法

2018/12/26 Python

selenium+python自动化测试之鼠标和键盘事件

2019/01/23 Python

解决python Markdown模块乱码的问题

2019/02/14 Python

Python进阶之全面解读高级特性之切片

2019/02/19 Python

Python数据类型之Tuple元组实例详解

2019/05/08 Python

Python实现多线程/多进程的TCP服务器

2019/09/03 Python

python实现对列表中的元素进行倒序打印

2019/11/23 Python

Django bulk_create()、update()与数据库事务的效率对比分析

2020/05/15 Python

python使用openpyxl操作excel的方法步骤

2020/05/28 Python

pycharm 关掉syntax检查操作

2020/06/09 Python

纽约州一群才华横溢的金匠制作而成：Hearth Jewelry

2019/03/22 全球购物

德国便宜的宠物店：Brekz.de

2020/10/23 全球购物

js正则匹配markdown里的图片标签的实现

2021/03/24 Javascript

读书小明星事迹材料

2014/05/03 职场文书

新郎答谢词

2015/01/04 职场文书

2015年幼儿教师个人工作总结

2015/05/20 职场文书

民事上诉状范文

2015/05/22 职场文书

Java实现贪吃蛇游戏的示例代码

2022/09/23 Java/Android