先说说js中的constructor的用法，constructor属性返回对创建此对象的数组函数的引用。语法，Object.constructor
然后这里Object.constructor===Function这是恒等的关系。你可以在控制台试试，会返回true。

所以我们可以使用以下方式创建，并执行一个函数:
newFunction("alert(1)")();
也可以不要new关键字
Function("alert(1)")()
然后可以将Function转换下，这里"..."是一个任意字符串，也可以为空，然后"...".substr就是一个Object，所以这代码和上面是等效的。
"...".substr.constructor("alert(1)")()
再转换下，对象可以写成中括号的形式，比如a.b可以写成a['b']这样子。
"..."["substr"]"constructor"")()
然后由于在字符串全部转义，任意字符串js中都可以写成+ASCII码的8位形式，也就是查询到字母的ASCII码然后将其转换为8进制时候的结果。
"..."["\163\165\142\163\164\162"]"\143\157\156\163\164\162\165\143\164\157\162"()

好了，这样就可以不用任何字母执行一段js代码了。

也可以这样。
newFunction("alert(1)")();
等价于
[].constructor.constructor('alert(1)')()
等价于
[]['constructor']'constructor'')()
赋值个变量，缩短下代码，等价于
[][$='constructor']$')()
然后替换下所有字符串，等价于
[][$='\143\157\156\163\164\162\165\143\164\157\162']$')()

哈哈，好像比上面的还要短点。这个在有的xss绕过时候蛮有用的。

下面说说jsfuck的原理。
先看一段代码

[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])+!+[]][+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+(![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]+[+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]])()

复制这段代码，放到谷歌浏览器控制台执行，可以看到弹1了，是不是很神奇，其实这段代码就是alert(1)在经过了N次变形的结果。
然后由于代码只用到了[]+!()6个字符而已，这个有个专业的名称，叫做jsfuck。

只是看这一堆代码，谁也不知道这是啥意思，也不知道是怎么来的，为啥就会执行alert(1)，所以下面来给解释下原理。
[]等于创建了一个array对象，也就是一个数组，然后![]是取反，控制台直接执行这个会看到，返回了false。那么!![]也就是对false取反，会返回true。
下来再说一个知识，在js中等于关系有两种，==叫做等于，===叫做恒等。区别是这样，恒等的一定满足等于，但是反之则不一定成立，1+1===2，true，1，'1'是==的，false，0，'0'也是==的，还有像[]，''，0，false也是==的关系。
还有个知识，就是字符串和数字相加，数字会自动转换为字符串类型，返回的结果会是字符串。字符串和数字相减，字符串会转换为数字类型，返回的会是数字。
还有一些特殊的，不是字符串也不是数字的时候，像true+true返回2，true+false会返回1。
所以 +true的结果是1，+false的结果是0。在结合上面说到的，这样+!![]表示的就是1，+![]表示的就是0了。

原理就是这样子，然后因为alert(1)可以写成，[]['constructor']'constructor'')()，所以只需要将关键字constructor和alert(1)对应的jsfuck对应的表达形式构造出来，在进行连接就可以了。由于不能用引号，所以这里括号也必须重新构造。

这里直接给出构造思路。那就是利用字符串的可以直接用下标进行读取的特性，比如字符串'abcd'，那么'abcd'[2]就会返回'c'。
所以a怎么获取呢，因为![]代表的是fasle，所以![][1]就是'a'，然后再将这里的1替换掉，就是![][+!![]]，这时候你去试试会发现怎么返回的是true不是'a'啊。那是因为这里的![]不是字符串，所以需要将其先转换为字符串，很简单这样就可以了，(![]+[])[+!![]]控制台直接输入代码就可以看到效果。

其他的关键字的字符也都是这么慢慢转换过来的。这里就不在一一列举了，感兴趣的可以看这里有详细的构造思路。https://github.com/aemkei/jsfuck