JSFuck

JSFuck（或為了避諱髒話Fuck寫作 JSF*ck ）是一種深奧的 JavaScript 程式設計風格。以這種風格寫成的代碼中僅使用 [、]、(、)、! 和 + 六種字元。此程式設計風格的名字衍生自僅使用較少符號寫代碼的Brainfuck語言。與其他深奧的程式語言不同，以JSFuck風格寫出的代碼不需要另外的編譯器或直譯器來執行，無論瀏覽器或JavaScript引擎中的原生 JavaScript 直譯器皆可直接執行。鑑於 JavaScript 是弱型別語言，編寫者可以用數量有限的字元重寫 JavaScript 中的所有功能，且可以用這種方式執行任何類型的表達式。^[1]

JSFuck 的標誌

一段經過 JSFuck 處理的 JavaScript 代碼，混淆前的內容是：alert(1)

緣起

長谷川陽介^{[註 1]}（Yosuke Hasegawa）於2009年7月建立了一個名為「jjencode」的網絡應用程式，可將一切的JavaScript代碼混淆為[]()!+,\"$.:;_{}~=這十八個字元的排列組合^[2][3]。

2010年1月，在一個Web應用程式安全站點上的「混淆」版塊內，舉行了一場非正式的競賽。這場競賽的目標是讓JavaScript程式設計將所需的最少字元降至八個以下（[]()!+,/），而該帖文的回覆者們設法消除了對,和/字元的需求^[4]。截至2010年3月，網上有一個名為「JS-NoAlnum」的線上編碼器，它只使用六個字元來混淆JavaScript^[5]。

2010年底，長谷川陽介製作了一個名為JSF*ck的新編碼器，它只使用了六個字元來混淆JavaScript^[6][7]。2012年，馬丁·克萊普在GitHub上建立了一個編碼器專案「jsfuck」^[8]，並建立了JSFuck.com網站，放置了一個使用該編碼器實現的Web應用程式^[9]。

用途與安全性

JSFuck可用於代碼混淆，一個最佳化版JSFuck編碼器已經被用於混淆jQuery代碼，使這一流行的JavaScript函式庫可以僅使用六個字元來實現原本的所有功能^[10]。

此外，JSFuck可用於繞過惡意代碼檢測，且可以被用於跨站指令碼攻擊^[11]。因為缺乏原生JavaScript應有的特徵，類似JSFuck的JavaScript混淆技術可幫助惡意代碼繞過入侵防禦系統或內容過濾器^[12]。現實中，因為JSFuck中缺少字母數字字元，且eBay中的內容過濾器曾存在缺陷，使得賣家曾經可以在他們的eBay拍賣頁面中嵌入任意JSFuck指令碼^[11]。

編碼方式

JSFuck代碼非常冗長。在JavaScript中，alert("Hello World");這一代碼將導致彈窗並顯示「Hello World」字串，這一代碼的長度為21個字元。在使用JSFuck.com提供的JSFuck混淆程式後，轉換出對應的相同效果代碼長度為24691個字元。本節概述此轉換方式的工作原理。

數字

數字0使用+[]來構造，其中[]代表空陣列，而+是一元加運算子。 數字1則以+!![]或+!+[]來構造，其中!![]或!+[]代表布林值為真（true），而前置的一元加運算子將真值轉換為數字1。 數字2至9則以將「真」加和多次後轉換為數值的類似方式來構造。例如，由true + true這一表達式在JavaScript中輸出結果為2，又true可寫作!![]或!+[]，故2可轉寫作!![]+!![]或!+[]+!+[]。 多位的整數則可將各數碼分別表示，並使用串接運算子+進行字串串接。例如字串"10"可表達為兩個陣列串接的形式（[1] + [0]），將各數碼替換為對應的JSFuck表達式後，即可將這一字串表達為[+!+[]]+[+[]]；若要將字串轉化為數字，可將前述的表達式括在括號或方括號中，並加上一個+運算子，因此，數字值10可在JSFuck中表達為+([+!+[]]+[+[]])。^[13]

字母

通過使用索引器（即方括號中的數字）的方式，可以訪問簡單布林值或數值對應字串表示形式（如false、true、NaN、undefined）中的單個字元，而JSFuck可以藉此轉換一部分字母。此外，轉換另一部分字母需要其他技巧，例如將字串1e1000轉換為數字，這樣就會產生無窮大值（Infinity），而Infinity中的字元可以用於取得字母y。^[13]

值	經JSFuck轉化後
false	![]
true	!![]或!+[]
NaN	+[![]]或+[][[]]
undefined	[][[]]
Infinity	+(+!+[]+(!+[]+[])[!+[]+!+[]+!+[]]+[+!+[]]+[+[]]+[+[]]+[+[]])

其他構造方法

在JavaScript中，Function函數這種構造器可被用於觸發執行包含在字串中的JavaScript代碼，正如像執行原生JavaScript代碼那樣。例如，陳述式alert(1)等價於Function("alert(1)")()。而Function構造器在JavaScript中是任何常用函數的constructor屬性，此處所言的常見函數指的是像[]["filter"]（即Array.prototype.filter）之類的函數。於是，這個構造器便可以通過訪問一個空陣列的filter屬性下的constructor屬性來構造。例如，alert(1)可被等價轉換為[]["filter"]["constructor"]("alert(1)")()，並使用JSFuck進一步轉換。^[13]