注意，上面這段看起來(lái)很混亂的代碼并不是自動(dòng)換行，而是三行（當(dāng)然，你寫在同一行也沒(méi)有錯(cuò)）。編寫一個(gè)頁(yè)面運(yùn)行一下（據(jù)說(shuō) IE 下不行），你就會(huì)發(fā)現(xiàn)這段代碼的功能等同于
alert(1)
為什么會(huì)這樣呢？我們來(lái)把這段代碼拆開(kāi)來(lái)分析。
$=[] // $ 被賦值為一個(gè)空數(shù)組，所以 !$ 的值為 false.
__ = !$ + $ // 加號(hào)會(huì)把 !$ 和 $ 都轉(zhuǎn)換成字符串，所以 __ 的值變成了字符串 “false”
_ = -~-~-~$ // 這里有一個(gè) ~ 操作符，它表示 -($+1)，所以 -~$ 的值為 1. _ 的值為 3.
由此可以推導(dǎo)：

接下來(lái)再拆 $$=($_=!”+$)[_/_]+$_[+$] ：
$_=!”+$ // 注意，!” 中是兩個(gè)單引號(hào)，也就是對(duì)一個(gè)空字符串做非運(yùn)算。所以變量 $_ 被賦值為字符串 “true”。
由此可推：
$$=($_=!”+$)[_/_]+$_[+$] => $$ = ( “true”)[1] + “true”[0] => “r” + “t” = “rt”
所以 (__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!”+$)[_/_]+$_[+$]) 就是 “s” + “o” + “rt” ，也就是 “sort”.
所以原來(lái)的表達(dá)式

可以被替換成：

接下來(lái)我們看 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) 是什么東西。
前面我們已經(jīng)得知：
__ = “false”
_ = 3
~$ = -1
$_ = “true”
$$ = “rt”
所以 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) => ["false"[1] + “false”[3-1] + “true”[3] + “rt”](3/3) => ["a" + "l" + "e" + "rt"](1) => ["alert"](1)
所以原來(lái)的表達(dá)式最終可以被替換成：
($=[[]]["sort"])()["alert"](1)
這段代碼是如何執(zhí)行的呢？我們來(lái)逐步分析：
a = [[]] // 創(chuàng)建一個(gè)數(shù)組
b = a["sort"] // 獲取數(shù)組的 sort 方法
c = b() // 調(diào)用數(shù)組的 sort 方法，這里 b() 返回的是 window 對(duì)象
d = c["alert"] // 獲取 window.alert 方法
d(1) // 調(diào)用 window.alert 方法。
所以這堆亂七八遭的表達(dá)式最終的執(zhí)行結(jié)果就是 window.alert(1).
更多 請(qǐng)看原文 和 Reddit上的討論。
原文評(píng)論里也有人貼出了一個(gè)日本開(kāi)發(fā)者寫的小工具，可以把一段 JavaScript 代碼編碼成各種表情符號(hào)，而且可以執(zhí)行，enjoy it.
BTW, 上面這段代碼除了做 XSS 攻擊之外作用不大，但是可以從分析這段代碼學(xué)習(xí)一點(diǎn)兒數(shù)據(jù)類型轉(zhuǎn)換相關(guān)的東西，也可以領(lǐng)略到 JavaScript 的靈活。
詳細(xì)代碼解析:

這里需要注意的幾點(diǎn):
1. javascript 里面 $, _ 均可以作為變量名
2. 函數(shù)還可以這樣調(diào)用: 比如 [1,2,4,1,9,1].sort() 可以寫成 [1,2,4,1,9,1]["sort"]();
3. ~ 對(duì)數(shù)字按位取反
4. javascript 中在對(duì)不同類型的變量 使用 + 時(shí)候的規(guī)則
5. 最后一個(gè)針對(duì)某些native code寫的方法，執(zhí)行會(huì)返回 window對(duì)象， 比如
var s = [].sort ; t=s(); 則 t 是 window

最新評(píng)論