Gor*_*son 9 security javascript
我最近开始使用NoScript(除了 ABP)。需要一段时间来适应它,并且在访问新站点时偶尔需要单击一下以调查该站点为何无法运行以及我需要从何处允许 JavaScript。额外的安全性值得吗?
这里讨论了一些争议。我想这归结为 JavaScript 是否对您的计算机构成真正威胁的问题。对此有何想法?
NoScript 存在的首要原因并不一定是 JavaScript本身,而是浏览器中的安全漏洞。过去,Firefox 和其他浏览器存在许多安全漏洞,这些漏洞允许恶意 JavaScript 对用户系统造成不良影响。(在许多情况下,本机代码可以通过 JavaScript 执行,这意味着网站可能会对您的计算机执行任何操作。)还有跨站点脚本攻击的可能性,就像@Eric 所说的那样。
然而,除非您经常浏览可疑网站,否则这些威胁非常少,因此 NoScript 是否值得麻烦取决于您。就我个人而言,我认为这不值得,特别是考虑到越来越多的网站需要 JavaScript 才能运行,这意味着您将不断地将脚本或整个域列入白名单(到那时,您就击败了一些首先使用它的好处)。