注意，上面这段看起来很混乱的代码并不是自动换行，而是三行（当然，你写在同一行也没有错）。编写一个页面运行一下（据说 IE 下不行），你就会发现这段代码的功能等同于 alert(1) 为什么会这样呢？我们来把这段代码拆开来分析。 $=[] // $ 被赋值为一个空数组，所以 !$ 的值为 false. __ = !$ + $ // 加号会把 !$ 和 $ 都转换成字符串，所以 __ 的值变成了字符串 “false” _ = -~-~-~$ // 这里有一个 ~ 操作符，它表示 -($+1)，所以 -~$ 的值为 1. _ 的值为 3. 由此可以推导： 接下来再拆 $$=($_=!”+$)[_/_]+$_[+$] ： $_=!”+$ // 注意，!” 中是两个单引号，也就是对一个空字符串做非运算。所以变量 $_ 被赋值为字符串 “true”。 由此可推： $$=($_=!”+$)[_/_]+$_[+$] => $$ = ( “true”)[1] + “true”[0] => “r” + “t” = “rt” 所以 (__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!”+$)[_/_]+$_[+$]) 就是 “s” + “o” + “rt” ，也就是 “sort”. 所以原来的表达式 可以被替换成： 接下来我们看 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) 是什么东西。 前面我们已经得知： __ = “false” _ = 3 ~$ = -1 $_ = “true” $$ = “rt” 所以 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) => ["false"[1] + “false”[3-1] + “true”[3] + “rt”](3/3) => ["a" + "l" + "e" + "rt"](1) => ["alert"](1) 所以原来的表达式最终可以被替换成： ($=[[]]["sort"])()["alert"](1) 这段代码是如何执行的呢？我们来逐步分析： a = [[]] // 创建一个数组 b = a["sort"] // 获取数组的 sort 方法 c = b() // 调用数组的 sort 方法，这里 b() 返回的是 window 对象 d = c["alert"] // 获取 window.alert 方法 d(1) // 调用 window.alert 方法。 所以这堆乱七八遭的表达式最终的执行结果就是 window.alert(1). 更多 请看原文 和 Reddit上的讨论。 原文评论里也有人贴出了一个日本开发者写的小工具，可以把一段 JavaScript 代码编码成各种表情符号，而且可以执行，enjoy it. BTW, 上面这段代码除了做 XSS 攻击之外作用不大，但是可以从分析这段代码学习一点儿数据类型转换相关的东西，也可以领略到 JavaScript 的灵活。 详细代码解析: 这里需要注意的几点: 1. javascript 里面 $, _ 均可以作为变量名 2. 函数还可以这样调用: 比如 [1,2,4,1,9,1].sort() 可以写成 [1,2,4,1,9,1]["sort"](); 3. ~ 对数字按位取反 4. javascript 中在对不同类型的变量 使用 + 时候的规则 5. 最后一个针对某些native code写的方法，执行会返回 window对象， 比如 var s = [].sort ; t=s(); 则 t 是 window