JavaScript Tricks: Undocumented Usage of Eval

最新推荐文章于 2025-12-02 21:41:05 发布
原创 最新推荐文章于 2025-12-02 21:41:05 发布 · 1.3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #Eval

本文介绍了JavaScript中Eval的一个鲜为人知的用法,通过将字符串转换为语法关键字,如`console.log`,实现代码加密和混淆。这种方法特别适用于隐藏关键代码,如处理JSON数据时保护键名。

In JavaScript programming, Eval is typically used to execute JavaScript code, perform computations, and output results. However, there is an undocumented usage of Eval that few people are probably familiar with.

Here is an example:

var a = eval(['g', 'o', 'l', '.', 'e', 'l', 'o', 's', 'n', 'o', 'c'].reverse().join(""));
var b = ['m', 'o', 'c', '.', 'n', 'a', 'm', 'a', 'h', 's', 'j'].reverse().join("");
a(b);

Can you guess what the output of the function a(b) will be if you only look at the syntax of this JS code? The answer is surprisingly unexpected. Here it is:

The ability to produce such an output relies on an undocumented usage of Eval that allows converting strings into syntactic keywords. The simplified version of the Eval statement mentioned above would be:

eval("console.log");

Use reverse and join to hide the plaintext of console.log.

This method is used for encrypting JavaScript code and works quite well. When it comes to obfuscating and encrypting JS code, some signature words are difficult to hide, like console.log. Typically, console.log might be changed to console["log"] or console["\x6c\x6f\x67"], where the "log" characters can be transformed, but console as a syntax keyword cannot be changed, making it easy to be identified. However, this usage of eval can solve this issue and effectively hide many syntax keywords.

Or for example, for encrypting JSON data:

var abc ={a:'This is a', b:'This is b', c:'This is c'};
console.log(abc.a);
console.log(abc.b);
console.log(abc.c);

JSON data, due to its unique format, is notoriously difficult to obfuscate and encrypt with JavaScript, as it is often difficult to hide key names. However, using the method described in this article, you can modify the code to:

eval("var abc ={a:'This is a', b:'This is b', c:'This is c'};");
console.log(abc.a);
console.log(abc.b);
console.log(abc.c);

Encrypt the content inside the eval statement, and the encrypted code can become:

Note: This is done using JShaman JavaScript Obfuscator, the same applies below.

eval("\u0076\u0061\u0072\u0020\u0061\u0062\u0063\u0020\u003d\u007b\u0061\u003a\u0027\u0054\u0068\u0069\u0073\u0020\u0069\u0073\u0020\u0061\u0027\u002c\u0020\u0062\u003a\u0027\u0054\u0068\u0069\u0073\u0020\u0069\u0073\u0020\u0062\u0027\u002c\u0020\u0063\u003a\u0027\u0054\u0068\u0069\u0073\u0020\u0069\u0073\u0020\u0063\u0027\u007d\u003b");
console.log(abc.a);
console.log(abc.b);
console.log(abc.c);

output:

js-tricks:js技巧
04-01
JS特里克 -
Python Tricks:A Buffet of Awesome Python Features
07-01
1 Introduction 2 Patterns for Cleaner Python 3 Effective Functions 4 Classes & OOP 5 Common Data Structures in Python ...7 Dictionary Tricks 8 Pythonic Productivity Techniques 9 Closing Thoughts
JavaScript and HTML Tricks
mydeman的学习日志
08-29 1586
Here are some of my favorite JavaScript and HTML tricks. There are a wide variety of options: from storing and using hidden data to making HTML forms and lists look great. Each topic has a brief intro
Javascript tricks
weixin_34200628的博客
11-02 99
2019独角兽企业重金招聘Python工程师标准>>> ...
JavaScript Tricks
Kevin's Share
07-20 781
 avar num = 10, MIN = 0, MAX = 5;assert(MIN  num  MAX);assert(!((MIN  num) && (num  MAX))); 
Cool JavaScript Tricks
wusuopuBUPT的专栏
03-28 1443
参考:http://www.blogohblog.com/cool-javascript-tricks/ 网页图片rotote效果: document.body.contentEditable='true'; document.designMode='on'; var radius = 0; var imgs = document.getElementsByTagName("
JavaScript Magic Tricks: Invalid breakpoint
w2sft的博客
05-20 741
【代码】EditManageStatsWangLiwenWangLiwenPosted on May 201JavaScript Magic Tricks: Invalid breakpoint。
JavaScript奇技淫巧:32进制加密
w2sft的博客
11-14 894
本书向您分享一系列新奇、有趣、有技术含量的,特别是很多侧重于代码安全、混淆加密的JavaScript编程技术,十分推荐JavaScript程序员阅读。这是使用toString(进制)方法将一个数字转换为指定进制的字符串表示,在上面的例子代码中,进制是32,这意味着数字会被转换成32进制的字符串。但eval本身字符串是个非常明显的特征,太容易被检索,然后替换成console.log、alert,从而实现逆向、得到eval执行的内容。扩展的思考,这个方法,除了可用于隐藏eval,当然也可以隐藏其它的方法。
JavaScript-Handy-Tricks:精选的酷炫实用JavaScript技巧
05-04
"JavaScript Handy Tricks" 提供了一系列实用的技巧和方法,旨在帮助开发者更高效地利用JS编写代码。以下是一些关键知识点的详细说明: 1. **变量声明与作用域**: - `let`、`const` 和 `var`:了解这三种变量声明...
js_tricks:一些常用的 JS 方法 - some JS methods always by used
05-02
cd js_tricks npm install npm run docs:dev 内容涵盖 Include Contributing Fork this repository Create your branch: git checkout -b new-branch Make your changes Commit your changes:
js-tricks:js提示和技巧
06-04
JavaScript 提示和技巧 不同的 javascript 技术可以玩
bag_of_tricks:Rust中的随机D&D角色生成器
04-10
bag_of_tricks 用Rust编写的随机D&D角色生成器。 目前支持: 书 种族 班级 背景资料 玩家手册(PHB) :check_box_with_check: :check_box_with_check: 我一直在关注必要的逻辑,因此“ ui”现在非常准。 ...
tricks:在Kubernetes上毫不费力地运行实验
05-16
Tricks条目(TE)是一组副本/容器。 实验是一个或多个TE的实验。 特征 注册事件的发生。 每个事件都有一个关联的计数器。 隐式事件(TE中每个窗格的start和stop ) 订阅活动 可用于实现同步屏障(例如,确保所有...
Javascript Tips & Tricks
whqet
02-20 6871
前端开发规范系列文章之Javascript Tips and Tricks,本意是写成常用代码收集、常用技巧整理的文章,感觉“常用代码大全”太土、“实用代码整理”有失偏颇,“提示与技巧”不够稳重,所以使用常用的英语说法,相信广大程序员都懂得。
前端在移动端中的页面切换
2509_93939582的博客
11-28 654
记得加硬件加速,用transform和opacity属性,别动不动改布局属性(比如width或height),那样容易引发重排重绘,卡成幻灯片。不过,SPA也不是万能药,它初次加载可能慢点,得靠代码分割和懒加载来优化——比如把不常用的模块拆开,等用户需要时再加载,这样既省资源又提速。还有,别忘了图片和视频的懒加载:页面切换时,先加载核心内容,图片等可视区域再加载,这样首屏能秒开。另外,内存管理也得注意,SPA容易内存泄漏,切换页面时记得清理事件监听器和定时器,不然用久了手机会变卡。
Vue 通用复选框组互斥 Hooks:兼容 Element Plus + Ant Design Vue
最新发布
a3212768093的博客
12-02 423
本文介绍了一个通用的Vue Hooks useExclusiveCheckbox,用于实现复选框组的互斥选择功能。该Hooks兼容ElementPlus和AntDesignVue两大UI库,主要特点包括:跨UI库兼容、轻量无依赖、灵活配置互斥选项值、全场景适配和类型安全。核心逻辑通过对比新旧选中值数组,自动处理互斥选项与其他选项的切换关系。文章提供了完整代码和使用示例,分别演示了在ElementPlus和AntDesignVue中的实现方式,并解答了常见问题。该方案可显著提升开发效率,适用于各类需要互斥选择
Next.js 零基础开发博客后台管理系统教程(一):环境搭建与项目初始化
祈澈菇凉
12-02 535
✅ 确定了使用 Next.js 的理由。✅ 检查并准备了开发环境。✅ 初始化了一个基于 App Router 和 TypeScript 的 Next.js 项目。✅ 初步了解了项目结构并成功运行了应用。在下一篇教程中,我们将开始构建后台管理界面的基础布局,并集成一个常用的 UI 组件库(例如 Ant Design 或继续使用 Tailwind CSS),为我们的管理系统打造一个漂亮、实用的侧边栏和顶部导航栏。
基于Springboot2+Vue2的旅游景点购票系统
自学网站s.jf3q.com,菜鸟的成长之路
12-02 412
本系统是一个集旅游景点信息展示、在线购票、用户游记分享与互动交流于一体的综合性平台。核心价值在于提供便捷的景点门票预订服务,同时构建活跃的旅游社区,促进用户间的经验分享。
js考古之seajs.use、layui.use是啥 以及来源?
weixin_52236586的博客
11-29 490
Seajs是先行者,在浏览器原生不支持模块化的黑暗年代,发明了 seajs.use 来实现按需加载。Layui是实用主义者,它借用了这种模块化思想,用 layui.use 把 UI 组件管理得井井有条,成为了 jQuery 时代的绝唱。是终结者,它作为官方标准,吸收了前辈们的经验,配合现代打包工具,提供了最强悍的性能和开发体验。当你下次再看到 seajs.use 或 layui.use 时,请对它们保持敬意。因为正是这些“老古董”,为今天现代前端的摩天大楼,铺下了第一块基石。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值