Eval的未公开用法,可用于加密JS代码关键字

时间:2021-04-08 00:40:39

JavaScript奇技淫巧:Eval的未公开用法

作者:​JShaman.com​ w2sft,转载请保留此信息

很多人都知道,Eval是用来执行JS代码的,可以执行运算、可以输出结果。

但它还有一种未公开的用途,想必很少有人用过。

例:

var a = eval(['g', 'o', 'l', '.', 'e', 'l', 'o', 's', 'n', 'o', 'c'].reverse().join(""));

var b = ['m', 'o', 'c', '.', 'n', 'a', 'm', 'a', 'h', 's', 'j'].reverse().join("");

a(b);

这段JS代码,如果单看语法,是否能知道a(b)调用会输出什么?答案是很难想到的,它的输出如下:

Eval的未公开用法,可用于加密JS代码关键字

能有这样的输出,依靠的便是eval的未公开用法:可以将字符串转为语法关键字。

上面的eval语句,简化后等于:

eval("console.log")

Eval的未公开用法,可用于加密JS代码关键字

用reverse、join是为了隐藏console.log明文。

这个方法用于JS代码加密,效果很不错。

因为对JS代码混淆加密时,语法关键字是很难隐藏的,就如console.log,一般情况下可能变化为:console[“log”],或者console[“\x6c\x6f\x67”],log字符可以变化,但console作为语法关键字,是不可变的,这就容易被识别。

而eval的这种未公开用法,恰好可以解决这一问题。可以隐藏很多语法关键字。