从++[[]][+[]]+[+[]]='10'谈安全

一开始我也有疑问，为什么 ++[[]][+[]]+[+[]]='10' ？

不得不信，于是我们要慢慢的分析：

分析基础符号

[]分析

[]有两个作用：

1. 数组

2. 访问属性和方法

例子：

[1,2,3,4]   // 数组
"abc"[0]     // 属性
[1，2]["length"]  // 方法

+运算符的作用

1. 创建数字
2. 将两个值相加
3. 连接字符串
4. 创建字符串

两个数相加

operand + operand = result

1. 如果操作符数中有一个对象，它将转换为原始值(string、number或boolean)

2. 如果操作符数中有一个字符串，第二个操作数将转换成字符串，并且连接在一起转换成一个字符串

3. 在其它情况之下，两个操作数转换为数字并且将执行加法运算

其中，对象转换的规则：

1. 如果对象类型是一个Date，可以使用toString()方法

2. 在其它情况下使用valueOf()方法，它将返回一个原始值

3. 如果valueOf()方法不能将它返回一个原始值，可以使用toString()方法。而这种情况大部分情况下都会发生

例子：

// 数字和字符串
var result = 1 + "5";             // "15"
// 数字和数组
var result = [1,3,5] + 1;         // "1,3,51"
// 数字和布尔值
var result = 10 + true;         // 11
// 数字和对象
var result = 15 + {};            // "15[object Object]"
// 数字和null
var result = 8 + null;             // 8
// 字符串和null
var result = "queen" + null;    // "queennull"
//  数字和undefined
var result = 12 + undefined;     // NaN

下面这张图是两个变量相加的类型结果：

     　　　　　　

位于操作数之前(+x)

一元正号运算符（unary plus operator）位于其操作数前面，计算其操作数的数值，如果操作数不是一个数值，会尝试将其转换成一个数值。它可以将字符串转换成整数和浮点数形式，也可以转换非字符串值 true，false 和 null。小数和十六进制格式字符串也可以转换成数值。负数形式字符串也可以转换成数值（对于十六进制不适用）。如果它不能解析一个值，则计算结果为 NaN。

例子:

+3     // 3
+"3"   // 3
+true  // 1
+false // 0
+null  // 0
+[]    // 0

递增(++)

递增运算符（increment operator)为其操作数增加1，返回一个数值。

解析++[[]][+[]]+[+[]]

首先把这个表达式拆分开来，如：

++[[]][+[]]
+
[+[]]

由上面的基础分析可知， +[] === 0  是完全正确的,故我们可以简化如下：

++[[]][0]
+
[0]

[[]][0] 返回内部数组 ([])。但是由于语言规范， [[]][0] === [] 是不正确的，因此我们暂时用A来代替里面的数组。

++[[]][0] == A + 1， 因为 ++ 的意思是”+1”。
++[[]][0] === +(A + 1)；这是一个数值，因为递增（++）返回的永远都是一个数值

因此，表达式可以简化如下：

+([] + 1)
+
[0]

由上面的基础符号分析可以简化表达式如下：

1   // 参考+在操作数前面
+
"0"  // 参考两个变量相加的对象转换规则

故最终结果为'10'。

用途

上面只是一个简单的例子，其实用这些字符串是可以写出真正有用的代码的，例如：

(![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+(![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]+[+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]    // alert(1)

可以在此生成想要的代码：http://www.jsfuck.com/

看着一些字符串可以执行，想必大家都有疑虑，用在哪些地方呢？

由于这样的代码属于混淆代码，不容易被识别，我们可以用在账户的安全校验上，比如，可以在Web端账户登陆之前从后端拿到一段这样的可执行代码，将执行结果写入cookie、token或者ajax请求里，这样可以防止一部分黑产用工具刷接口来获取数据。

由于黑产现在采用的工具都是易语言写的。基于winhttp.dll和winInet.dll的，不具备js引擎，所以如果web端在提交登陆之前获取并执行后端的一段这样的代码，一来可以以混淆的代码使得黑产不容易看懂，二来如果黑产想破解的话，就需要一个js引擎或者无头浏览器，其成本是很高的。

用于安全上只是其中的一个例子，聪明的你可能还有更好的使用场景，不妨分享出来。

参考资料

Addition (+)：https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Operators/Arithmetic_Operators

jsFuck: https://github.com/aemkei/jsfuck

JavaScript addition operator in details： https://rainsoft.io/javascriptss-addition-operator-demystified/

Why does ++[[]][+[]]+[+[]] return the string “10”?：https://stackoverflow.com/questions/7202157/why-does-return-the-string-10