JavaScript難読化処理
のためのヒント

6．URLエンコードを利用する

5-1のソースを元に、更なる難読化の方法を考えてみたいと思います。URLエンコードを利用すると、すべての文字が「%82」など「%」と英数字・アンダーバーなどになります。これを元に戻すには、unescapeメソッドでデコードするだけですから、それほど難しいわけではありませんが、初心者・中級者に猫だましのごとく効果的です。

例を出して考えてみましょう。非常に単純なJavascript「if(a>5){alert("abc");}」という文字列をescapeしてみます。下記のフォームにコピー&ペーストしてみてください。

「if%28a%3E5%29%7Balert%28%22abc%22%29%3B%7D」になりましたね。もちろん、このまま、元のソースと差し替えても動きません。「unescape("if%28a%3E5%29%7Balert%28%22abc%22%29%3B%7D");」とします。しかし、これでも動きません。この文字列をJavaScriptとして評価するには、evalメソッドを使用する必要があります。「eval(unescape("if%28a%3E5%29%7Balert%28%22abc%22%29%3B%7D"));」で動きます。即ち、非常に単純なJavascript「if(a>5){alert("abc");}」は「eval(unescape("if%28a%3E5%29%7Balert%28%22abc%22%29%3B%7D"));」に書き換えることが可能なのです。

ただ、ここまで読んできて疑問に思われた方もおられるかもしれません。escapeメソッドですと、日本語をエンコードした際に、ブラウザによって結果が変わってしまうことは、比較的よく知られた問題です。たとえば、「あいうえお」をescapeメソッドでエンコードしますと、IE6やFirefox 1.5.0.7では「%u3042%u3044%u3046%u3048%u304A」になりますが、Netscape 7.1では「%82%A0%82%A2%82%A4%82%A6%82%A8」になります。Netscape 7.1の方が文字通りのURLエンコード（このページは、Shift_JISのページなので、%82%A0・・・となっています。）であり、IE6やFirefoxのそれはunicodeベースのものであり、異なります。

IE6やFirefox 1.5.0.7でも、もちろんencodeURIメソッドで、いわゆるURLエンコードは可能ですが、これはIE5.5以上となっています。IE5.0や5.01（Windows）や、Mac版IEでは対応していません。また、ページ本体の文字コードにかかわらず、UTF-8でURLエンコードしてしまいます。

ですから、日本語が混じるとescapeメソッドは困ったことになります。しかし、逆にいえば、英数字だけなら問題が発生しません。

私たちは、既に、「日本語メッセージを英数字だけの文字列に変換する」の章で英数字だけのJavaScriptにすることに成功しています。ですから問題がありません。ソース5-1を元にescapeメソッドでエンコードし、それをunescapeとevalで動くようにしてみましょう。その結果が下記です。

ソース6-1

eval(unescape("s%3DString.fromCharCode%3Ba%3Dalert%3Bd%3Ddocument%3Bmsg21%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12398%2C19968%2C25991%2C23383%2C30446%2C12395%2C64%2C12364%2C26469%2C12427%2C12398%2C12399%2C22793%2C12391%2C12377%2C12290%29%3Bmsg3%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C20013%2C12391%2C12300%2C46%2C12301%2C12364%2C36899%2C32154%2C12377%2C12427%2C12398%2C12399%2C22793%2C12391%2C12377%2C12290%29%3Bmsg12%3Ds%2812501%2C12522%2C12460%2C12490%2C12399%2C24517%2C38920%2C12391%2C12377%2C12290%29%3Bmsg25%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12395%2C12289%2C64%2C12364%2C20108%2C12388%2C20197%2C19978%2C12354%2C12426%2C12414%2C12377%2C12290%2C12513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12392%2C12375%2C12390%2C19981%2C36969%2C20999%2C12391%2C12377%2C12290%29%3Bmsg19%3Ds%2820837%2C21147%2C12481%2C12455%2C12483%2C12463%2C12539%2C12463%2C12522%2C12450%2C12391%2C12377%2C12290%29%3Bmsg7%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12434%2C20837%2C21147%2C12375%2C12390%2C12367%2C12384%2C12373%2C12356%2C12290%29%3Bmsg4%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12395%2C12289%2C12300%2C46%2C12301%2C12364%2C12402%2C12392%2C12388%2C12418%2C12354%2C12426%2C12414%2C12379%2C12435%2C12290%2C12513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12392%2C12375%2C12390%2C19981%2C36969%2C20999%2C12391%2C12377%2C12290%29%3Bmsg2%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12398%2C20013%2C12398%2C26368%2C24460%2C12398%2C12300%2C46%2C12301%2C65288%2C12489%2C12483%2C12488%2C65289%2C12398%2C24460%2C12395%2C19968%2C25991%2C23383%2C12375%2C12363%2C12394%2C12356%2C12392%2C12356%2C12358%2C12398%2C12399%2C22793%2C12391%2C12377%2C12290%2C12300%2C46%2C106%2C112%2C12301%2C12300%2C46%2C99%2C111%2C109%2C12301%2C12394%2C12393%2C12289%2C26368%2C20302%2C12391%2C12418%2C65298%2C25991%2C23383%2C20197%2C19978%2C23384%2C22312%2C12377%2C12427%2C12399%2C12378%2C12391%2C12377%2C12290%29%3Bmsg27%3Ds%2812301%2C12399%2C12289%2C12513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12392%2C12375%2C12390%2C19981%2C36969%2C20999%2C12394%2C25991%2C23383%2C12391%2C12377%2C12290%29%3Bmsg1%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12398%2C19968%2C25991%2C23383%2C30446%2C12395%2C12300%2C46%2C12301%2C65288%2C12489%2C12483%2C12488%2C65289%2C12364%2C26469%2C12427%2C12398%2C12399%2C22793%2C12391%2C12377%2C12290%29%3Bmsg20%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12398%2C26411%2C23614%2C12395%2C12300%2C46%2C12301%2C65288%2C12489%2C12483%2C12488%2C65289%2C12364%2C26469%2C12427%2C12398%2C12399%2C22793%2C12391%2C12377%2C12290%29%3Bmsg10%3Ds%2821517%2C21069%2C12434%2C20837%2C21147%2C12375%2C12390%2C12367%2C12384%2C12373%2C12356%2C12290%29%3Bmsg22%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C20013%2C12391%2C12289%2C64%2C12398%2C30452%2C21069%2C12395%2C12300%2C46%2C12301%2C12364%2C26469%2C12427%2C12513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12399%2C12372%2C21033%2C29992%2C12395%2C12394%2C12428%2C12414%2C12379%2C12435%2C12290%29%3Bmsg29%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12395%2C12289%2C12300%2C46%2C12301%2C12364%2C12402%2C12392%2C12388%2C12418%2C12354%2C12426%2C12414%2C12379%2C12435%2C12290%2C12513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12392%2C12375%2C12390%2C19981%2C36969%2C20999%2C12391%2C12377%2C12290%29%3Bmsg15%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12395%2C12289%2C64%2C12364%2C12402%2C12392%2C12388%2C12418%2C12354%2C12426%2C12414%2C12379%2C12435%2C12290%2C12513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12392%2C12375%2C12390%2C19981%2C36969%2C20999%2C12391%2C12377%2C12290%29%3Bmsg26%3Ds%2825991%2C23383%2C30446%2C12398%2C12300%29%3Bmsg8%3Ds%2812513%2C12540%2C12523%2C12450%2C12489%2C12524%2C12473%2C12398%2C26411%2C23614%2C12395%2C64%2C12364%2C26469%2C12427%2C12398%2C12399%2C22793%2C12391%2C12377%2C12290%29%3Bfunction%20ai%28%29%7Bd.myForm.email.focus%28%29%3B%7Dfunction%20checkInput%28%29%7Bdm%3Dd.myForm%3Bif%28dm.name.value%3D%3D%22%22%29%7Ba%28msg10%29%3Bdm.name.focus%28%29%3Breturn%20false%3B%7Dif%28dm.furigana.value%3D%3D%22%22%29%7Ba%28msg12%29%3Bdm.furigana.focus%28%29%3Breturn%20false%3B%7Demail%3Ddm.email.value%3Bif%28email%3D%3D%22%22%29%7Ba%28msg7%29%3Bai%28%29%3Breturn%20false%3B%7Datmark%3D0%3Bdot%3D0%3Bvar%20j%2Cmoji_x%3Bfor%28var%20i%3D0%3Bi%3Cemail.length%3Bi++%29%7Bmoji%3Demail.charCodeAt%28i%29%3Bif%28moji%3E%3D48%26%26moji%3C%3D57%29%7B%7Delse%20if%28moji%3E%3D65%26%26moji%3C%3D90%29%7B%7Delse%20if%28moji%3E%3D97%26%26moji%3C%3D122%29%7B%7Delse%20if%28moji%3D%3D64%29%7Bif%28i%3D%3D0%29%7Ba%28msg21%29%3Bai%28%29%3Breturn%20false%3B%7Delse%20if%28i%3D%3D%28email.length-1%29%29%7Ba%28msg8%29%3Bai%28%29%3Breturn%20false%3B%7Dif%28email.charCodeAt%28i-1%29%20%3D%3D%2046%29%7Ba%28msg22%29%3Bai%28%29%3Breturn%20false%3B%7Datmark++%3B%7Delse%20if%28moji%3D%3D45%7C%7Cmoji%3D%3D95%29%7B%7Delse%20if%28moji%3D%3D46%29%7Bif%28i%3D%3D0%29%7Ba%28msg1%29%3Bai%28%29%3Breturn%20false%3B%7Delse%20if%28i%3D%3D%28email.length-1%29%29%7Ba%28msg20%29%3Bai%28%29%3Breturn%20false%3B%7Delse%20if%28i%3D%3D%28email.length-2%29%29%7Ba%28msg2%29%3Bai%28%29%3Breturn%20false%3B%7Dif%28i%3E%3D1%29%7Bif%28email.charCodeAt%28i-1%29%3D%3D46%29%7Ba%28msg3%29%3Bai%28%29%3Breturn%20false%3B%7D%7Ddot++%3B%7Delse%20%7Bj%3Di+1%3Bmoji_x%3Demail.charAt%28i%29%3Ba%28j+msg26+moji_x+msg27%29%3Bai%28%29%3Breturn%20false%3B%7D%7Dif%28atmark%3D%3D0%29%7Ba%28msg15%29%3Bai%28%29%3Breturn%20false%3B%7Delse%20if%20%28atmark%3E%3D2%29%7Ba%28msg25%29%3Bai%28%29%3Breturn%20false%3B%7Dif%28dot%3D%3D0%29%7Ba%28msg29%29%3Bai%28%29%3Breturn%20false%3B%7Da%28msg19%29%3B%7D"));

どうですか？

この難読化したソースを実際に外部ファイル化して、下記の入力フォーム・サンプルで入力チェックができるようにしています。難読化しても問題なく動作することを確認してください。

▼ よくある入力フォームとJavaScriptによるチェック（検証用サンプル）

この方法を使った場合のデメリットは、まず、ファイルサイズが増えることです。このサンプルでは、5-1に比べて、約1.4倍にもなりました。しかし、パフォーマンスを考えた場合、URLエンコードしない方が早く処理されるに違いありませんが、それは体感できるほどではありません。サーバの転送量は増えるでしょうが、数キロバイトの差であり、今日用範囲かなとも思います。

ただ、問題なのは、初心者・中級者を騙せても、上級者には通用しません。よく見ると、「charCodeAt」や「length」「return」「false」などはそのままです。これさえも消し去る方法を考えてみます。escapeメソッドでエンコードする前に、もう少し複雑にする方法を次のページでは考えてみます。いよいよ暗号化の領域に入っていきます。

目次：

連絡先：info@broadband-xp.com

【PR】 HTML・JavaScript暗号化ソフト「SHTML」

（免責事項）このホームページの内容に起因する如何なるトラブルに対しても責任を持ちえません。必ず自己責任でご利用ください。

JavaScript難読化処理 のためのヒント

6．URLエンコードを利用する

JavaScript難読化処理
のためのヒント