アルファベット小文字だけのパスワードは簡単に推測される可能性があるため危険、というのは昨今では十分広がっていると思うが、いっぽうでサービス・システムごとに利用できる文字種の制限が異なることが多い。ほとんどのシステムではアルファベット大文字・小文字と数字は利用できると思われるが、それ以外の#や@、-、_、\、+、*などの記号については使える場合と使えない場合がまちまちだ。しかし、こういった制限はなぜ行われているのだろうか？

teratailでの質問についてはいくつかの回答が寄せられているが、回答の1つに全角を許すと入力者が意図せず半角を入力してしまった際にエラーとなり、問い合わせなどが発生してサポートコストが増える可能性がある、というものがあった。これはそれなりに納得できる理由ではあるのだが、半角の一部記号が使えない説明にはなっていない。

もちろん、古いUNIXとの互換性という理由はあるだろうか、今でもそれを引きずる合理的な理由はあるのだろうか？

ECMAScript（JavaScript）の新規格として提案されているものの1つに「Pipeline operator」がある。これは「|>」という演算子を利用して()を使わずに関数に引数を与える仕組みなのだが、これを利用することで「[」「]」「+」「|」「>」の5文字だけで任意のJavaScriptコードを記述できるという（5文字で書くJavaScript/ Shibuya.XSS techtalk #10）。

今までも「[」「]」「(」「)」「!」「+」の6文字で任意のJavaScriptコードを記述するという手法「JSFuck」があった。今回紹介されている手法はこれの応用で、|>演算子を利用することで使用する文字を5文字にまで減らしたというもの。手法としてはECMAScriptの組み込み型や組み込み関数などから「[」「]」「+」「>」の4文字を使って文字を取り出し、それを結合することで任意の文字列を作り、|>演算子でそれを呼び出す、という流れになっている。