大家一直在等待的Firefox NoScript指南
- 类别: 火狐浏览器
更新资料 :我们已经发布了新的 Firefox 57及更高版本的NoScript指南 。
我在台式机上而不是其他浏览器上使用Firefox Web浏览器的核心原因之一是NoScript扩展仅适用于该浏览器。
NoScript 顾名思义,它阻止脚本在所有大多数网站上自动运行。由于大多数在网站上运行的攻击都要求脚本有效,因此这可以大大提高安全性。启用NoScript时,由于需要加载的内容较少,因此平均还会缩短页面加载时间。
不利的一面是网站功能在某些网站上也可能无法正常工作。由于默认情况下脚本是被阻止的,因此一个站点可能根本无法工作,或者仅部分安装了NoScript才能工作。
该扩展程序提供了解决这些问题的控件,因为您可以允许脚本在站点上临时或永久运行。
另一个问题是脚本在域级别被阻止。大多数网站从各种来源加载脚本。首先来自其自己的域,也来自第三方服务器,例如,用于展示广告,使用跟踪脚本或使用jquery的托管版本。
通常很难确定站点的核心功能需要哪些脚本,而哪些不是必需的。对于在域名,网站技术和脚本方面经验不足的Internet用户而言,尤其如此。
NoScript配置
开箱即用的NoScript体验非常好。您可以使用它而无需进行修改,但是如果您想充分利用附加组件,则可能需要至少浏览一次这些选项,以确保以最佳方式配置所有组件。
如前所述,默认情况下,NoScript会阻止大多数网站上的脚本。该扩展程序附带一个域白名单,这意味着您在此处找到的站点被允许运行它们在自己的域中托管的脚本。
侧尖 :NoScript区分根域和子域。扩展名将addons.mozilla.org和mozilla.org之类的域视为不同的域。
在列入白名单的域列表中,包括addons.mozilla.org,google.com,googleapis.com,live.com,hotmail.com,outlook.com或paypal.com。
您可以在NoScript选项的“白名单”下删除任何列入白名单的站点。
我的建议是删除您不想在此处列出的域。但是我建议将Firefox的内部页面保留在列表中,否则会遇到问题。
您还可以在此处导入或导出选择,如果您在多台设备上使用Firefox并希望使用相同的白名单,则很有用。
您可能要进行的第二个配置更改涉及NoScript图标。您可能希望将其放置在易于访问的位置。
我已将我的工具栏放置在附加栏中,但是在Firefox Australis(目标版本为29)中删除了该栏之后,您也可以将其放置在浏览器的主工具栏中。
您拥有的另一种选择是为此使用上下文菜单。 NoScript在Firefox的右键单击上下文菜单中添加了一个条目,您可以使用该条目来允许或禁止网站,或打开扩展的选项和其他功能。
如果使用该图标,则可以利用开发人员内置在扩展程序中的几个智能功能。要允许当前站点上的所有脚本,请在图标上单击鼠标中键。您还可以在选项中的“常规”下启用左键单击切换以允许或阻止顶级站点。
您可能会注意到,通知中的屏幕上显示了有关被阻止脚本的消息。如果仅使用上下文菜单,则此功能很有用,但是如果使用图标,则图标本身也会突出显示该图标。
我喜欢删除通知,因为它会阻塞屏幕的一部分,而不告诉我任何我不知道的内容。
您可以在选项中的“通知”选项卡下禁用通知。
除了显示消息外,您还可以启用音频反馈。我不建议您这样做,特别是如果您在浏览会话期间加载许多站点时。
返回到在您单击鼠标左键或右键单击该图标时NoScript显示的站点列表。
该菜单突出显示该站点尝试运行的所有脚本。根域始终列在列表的底部,而所有其他域都列在其顶部。
小费 :为了确保网站的完整功能,通常足以允许根域。我建议您先加载网站而不将其列入白名单,以查看是否可以立即使用。如果不是,则可能是由于需要加载脚本引起的。该规则有例外。您可能会发现某些网站使用内容分发网络,例如您还需要允许cdn.ghacks.net,并且某些站点从第三方站点(例如jquery)加载库。
正如我在我的文章中提到的 6 NoScript技巧指南 ,您可以在此处的任何域上单击鼠标中键以对其进行安全检查。在单击鼠标中键时,您会转到NoScript网站上的页面,该页面链接到一些流行的站点安全服务,例如Web of Trust,McAfee Site Advisor或hpHost。
使用那些检查域,然后再允许您对其一无所知。替代方法是手动检查域 病毒总数 。
小费 :右键单击任何域名,将其复制到剪贴板。
深层发掘
让我们深入一点。 NoScript不仅提供脚本阻止功能。它也可以用于处理嵌入的内容。
虽然默认情况下,那些内容被禁止进入非白名单网站,但不适用于您已被临时或永久列入白名单的网站。
这意味着默认情况下,诸如Java,Flash,Silverlight或其他插件之类的内容会加载到列入白名单的网站上。如果您不希望这种情况发生,则必须在NoScript选项>嵌入下进行以下配置更改。
这是一个可能有用的示例。假设您需要将网站列入白名单以利用其所有功能。这样,您可能会在无意中允许它播放Flash广告,视频或其他需要使用插件的内容。
虽然允许这些内容在列入白名单的网站(例如YouTube)上播放是有意义的,但是当您访问视频网站时,如果您也将这些限制也列入白名单的网站,则可以提高安全性和隐私性。
尽管这意味着要更多地单击以启用那些内容,但这是一个折衷。
如果启用该功能,则每次单击被阻止的内容时都会收到一条确认消息。您可以通过禁用“暂时取消阻止对象之前询问确认”来禁用该功能。
注意 :您可以在同一页面上配置禁止的项目。因此,从理论上讲,可以允许某些内容,而不允许其他内容。一种可能的选择是允许Flash,并禁止所有其他内容。
高级选项
起初,高级选项可能看起来很吓人,因为您会发现此处提到了许多技术术语,例如XSLT,XSS,ABE甚至ping。
一般来说,除非您需要特定功能,否则最好不要选择这些选项。
这里可能感兴趣的一项功能是安全cookie的处理。您可以配置NoScript强制对通过HTTPS为选定站点设置的cookie进行加密。
某些Web服务通过安全连接设置cookie,但无法将这些cookie标记为安全。结果是,即使来自非HTTPS页面,也允许来自同一域的对该Cookie的请求。
但是,您可能在某些站点上遇到问题,因此您可能无法再登录这些站点,或者在切换页面时自动注销。
通过使用快捷键Ctrl-Shift-i打开Firefox的Web控制台,可以找到有关这些问题的信息。使用该信息将例外添加到规则。
您可能需要仔细研究的其他功能包括以下选项:禁止不受信任的站点上的书签,允许受信任的站点使用本地链接,或者禁止尝试修复JavaScript链接。
进一步阅读
可能是有关NoScript的其他信息的最佳位置 是常见问题 由作者维护。这里解释了几个技术术语,并且还有一个提示和技巧部分,您可能会觉得很方便。
问题基于 官方论坛 这是经常光顾的。