JavaScript ( (__ = !$ + $)[+$] + ({} + $)[_/_] +({} + $)[_/_] )

复制代码代码如下:
($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+
($$=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__
[_+~$]+$_[_]+$$](_/_)
注意，上面这段看起来很混乱的代码并不是自动换行，而是三行（当然，你写在同一行也没有错）。编写一个页面运行一下（据说 ie 下不行），你就会发现这段代码的功能等同于
alert(1)
为什么会这样呢？我们来把这段代码拆开来分析。
$=[] // $ 被赋值为一个空数组，所以 !$ 的值为 false.
__ = !$ + $ // 加号会把 !$ 和 $ 都转换成字符串，所以 __ 的值变成了字符串 “false”
_ = -~-~-~$ // 这里有一个 ~ 操作符，它表示 -($+1)，所以 -~$ 的值为 1. _ 的值为 3.
由此可以推导：
复制代码代码如下:
(__ = !$ + $ )[ _ = -~-~-~$] => (”false”)[_] => (”false”)[3] => “false”[3] = “s”
({} + $)[_/_] => (”[object object]“)[_/_] => (”[object object]“)[1] => “[object object]“[1] = “o”
接下来再拆 $$=($_=!”+$)[_/_]+$_[+$] ：
$_=!”+$ // 注意，!” 中是两个单引号，也就是对一个空字符串做非运算。所以变量 $_ 被赋值为字符串 “true”。
由此可推：
$$=($_=!”+$)[_/_]+$_[+$] => $$ = ( “true”)[1] + “true”[0] => “r” + “t” = “rt”
所以 (__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!”+$)[_/_]+$_[+$]) 就是 “s” + “o” + “rt” ，也就是 “sort”.
所以原来的表达式
复制代码代码如下:
($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+
($$=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__
[_+~$]+$_[_]+$$](_/_)
可以被替换成：
复制代码代码如下:
($=[[]][sort])()[__[_/_]+__
[_+~$]+$_[_]+$$](_/_)
接下来我们看 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) 是什么东西。
前面我们已经得知：
__ = “false”
_ = 3
~$ = -1
$_ = “true”
$$ = “rt”
所以 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) => [false[1] + “false”[3-1] + “true”[3] + “rt”](3/3) => [a + l + e + rt](1) => [alert](1)
所以原来的表达式最终可以被替换成：
($=[[]][sort])()[alert](1)
这段代码是如何执行的呢？我们来逐步分析：
a = [[]] // 创建一个数组
b = a[sort] // 获取数组的 sort 方法
c = b() // 调用数组的 sort 方法，这里 b() 返回的是 window 对象
d = c[alert] // 获取 window.alert 方法
d(1) // 调用 window.alert 方法。
所以这堆乱七八遭的表达式最终的执行结果就是 window.alert(1).
更多请看原文和 reddit上的讨论。
原文评论里也有人贴出了一个日本开发者写的小工具，可以把一段 javascript 代码编码成各种表情符号，而且可以执行，enjoy it.
btw, 上面这段代码除了做 xss 攻击之外作用不大，但是可以从分析这段代码学习一点儿数据类型转换相关的东西，也可以领略到 javascript 的灵活。
详细代码解析:
复制代码代码如下:
(
$=[$=[]] // $ = []
[
(__= !$ + $) // __ = false
[_=-~-~-~$] // _ = 3
// (__)[3] = s
+
({} + $) // ({} + $) = [object object]
[_/_] // _/_ = 1
+ // ([object object])[1] = o
($$ = //
($_=!'' + $) // !''+ $ = true ; $_ = true
[_/_] // _/_ = 1;
// $_[1] = r
+
$_[+$] // +$ = 0; $_[0] = t
) // $$= rt
] // [sort]
// [][sort] = [].sort = function sort() { [native code] }
// $ = [][sort]
)() // ($)() = [object window]
[
__[_/_] // __ = false;
// __[1] = a
+
__ [_+~$] //_ = 3; ~$ = -1; _ + ~$ = 2
// __[2] = l
+
$_[_] // $_ = true ; _ = 3;
// $_[3] = e
+
$$ // $$ = rt
](_/_); // _ / _ = 1
// window[alert](1)
这里需要注意的几点:
1. javascript 里面 $, _ 均可以作为变量名
2. 函数还可以这样调用: 比如 [1,2,4,1,9,1].sort() 可以写成 [1,2,4,1,9,1][sort]();
3. ~ 对数字按位取反
4. javascript 中在对不同类型的变量使用 + 时候的规则
5. 最后一个针对某些native code写的方法，执行会返回 window对象，比如
var s = [].sort ; t=s(); 则 t 是 window

JavaScript ( (__ = !$ + $)[+$] + ({} + $)[_/_] +({} + $)[_/_] )_javascript技巧

推荐信息