- UID
- 202886
- 在线时间
- 0 小时
- 最后登录
- 2016-2-16
- 注册时间
- 2012-8-23
- 宅魂
- 52 点
- 贡献
- 23 点
- 宅币
- 1825 枚
- 宅の石(入宅度)
- 0 块
- 元气(技能点)
- 2 点
- 活跃
- 0 ℃
- 听众
- 4
- 收听
- 0
该用户从未签到
Continue
- 积分
- 2150
|
楼主 |
发表于 2012-9-1 17:08:58
|
显示全部楼层
nongeek 发表于 2012-9-1 16:53
在chrome下测试不行...不过这个代码的原理到底是啥...
TypeError: Array.prototype.sort called on null or ...
第一部分:
($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!''+$)[_/_]+$_[+$])])()
第二部分:
1.[__[_/_]+__[_+~$]+$_[_]+$$](_/_)
第一部分代码可以改写为以下等价形式:
1. $ = [];
2. __ = !$+$;
3. _ = -~-~-~$;
4. $_=!''+$;
5. $$ = $_[_/_] + $_[+$];
$= [$][
6. __[_] +
7. ({}+$)[_/_] +
8. $$
9. ];
10. $();
1. $先赋值为一个空数组
2. __ = ![] + [] = false + [] = "false" 这里利用了javascript运算的强制类型转换特性。首先空数组是一个非null值,因此![]的结果是false(布尔型)。在计算false + []时,由于数组对象无法与其他值相加,在加法之前会先做一个toString的转换,空数组的toString就是"",因此事实上在计算false + ""。这时false被自动转换为字符串。最终结果是"false"+"" = "false"。
3. 在计算~[]时,~需要一个数字操作数,空数组无法直接转换为数字,则作为0处理。因此~[] = ~0 = -1。
因此: _ = -~-~-~[] = -~-~-(-1) = -~-~1 = -~-(-2) = -~2 = -(-3) = 3
4. !''是true,使用+$将其变为字符串 "true"
5. 之前一直用“值+[]”来获得“值”的字符串形式。而“+[]”则是0(正号导致[]被自动转换为数值0)。因此:$$ = "true"[3/3] + "true"[+[]] = "true"[1] + "true"[0] = "rt"
6. __[_] = "false"[3] = "s"
7. ({} + [])导致空对象{}被转换为字符串"[object Object]", 因此({}+$)[_/_] = "[object Object]"[1] = "o"
9. 这里把$覆盖为 [[]]["s"+"o"+"rt"]。注意这里[[]]本身是一个包含空数组的数组,最终结果是,$ = [[]]["sort"] = [[]].sort = Array.prototype.sort。
10. 调用$(),作为整个表达式最终的取值。$是全局范围的,是window的一个属性,相当于window.$。
第二部分:
现在$是一个函数,因此~$ = ~0 (无法直接转换为数字则作为0处理) = -1。
[__[_/_]+__[_+~$]+$_[_]+$$](_/_) = ["false"[1]+"false"[3+(-1)]+"true"[3]+"rt"](1) = ["a"+"l"+"e"+"rt"](1)
最终结果为window["alert"](1) |
评分
-
查看全部评分
|
发新帖
发表于 2012-9-1 11:47:40
提升卡
置顶卡
变色卡
