我应该使用No-Script吗？

Question 1

确实！

攻击者可以利用恶意脚本执行XSS等多种攻击：

跨站点脚本 (XSS) 是一种通常出现在 Web 应用程序中的计算机安全漏洞，它使恶意攻击者能够将客户端脚本注入其他用户查看的网页中……

没有脚本可以让您控制网页（或网站）上的所有脚本及其使用的插件（如 flash、java 等）。您将受信任的站点添加到白名单中，其他站点不得运行脚本，除非您允许它们（暂时或永久）。

为什么我应该只允许受信任的站点执行 JavaScript、Java、Flash 和插件？

JavaScript、Java 和 Flash 虽然是截然不同的技术，但有一个共同点：它们在您的计算机上执行来自远程站点的代码。这三种技术都实现了某种沙盒模型，限制了远程代码可以执行的活动：例如，沙盒代码不应读取/写入本地硬盘，也不应与底层操作系统或外部应用程序交互。即使沙盒是万无一失的（事实并非如此，请参阅下文），即使您或您的操作系统用另一个沙盒包装整个浏览器（例如 Vista 上的 IE7+ 或 Sandboxie），在浏览器内运行沙盒代码的能力也可能被利用来达到恶意目的，例如窃取您在网络上存储或输入的重要信息（信用卡号、电子邮件凭证等）或“冒充”您，例如在虚假的金融交易中，发起“云”攻击，如跨站点脚本 (XSS) 或 CSRF，而无需逃离浏览器或获得高于普通网页的权限。仅凭这一点就足以让脚本只在受信任的站点上运行。此外，许多安全漏洞都旨在实现“特权升级”，即利用沙箱的实现错误来获取更大的特权并执行诸如安装木马、rootkit 和键盘记录器等恶意任务。此类攻击还可以针对 JavaScript、Java、Flash 和其他插件：

JavaScript 似乎是坏人非常宝贵的工具：迄今为止发现的大多数已修复的浏览器可利用漏洞在禁用 JavaScript 时都无效。原因可能是脚本更容易测试和搜索漏洞，即使您是新手黑客：每个人和他的兄弟都认为自己是 JavaScript 程序员 :P

Java 的历史更悠久，至少在其“标准”版本 Sun JVM 中是如此。然而，也存在为 Microsoft JVM 编写的病毒，如 ByteVerifier.Trojan。无论如何，Java 安全模型允许签名的小程序（其完整性和来源由数字证书保证的小程序）以本地权限运行，即就像它们是常规安装的应用程序一样。再加上这样的事实，总有一些用户在看到“此小程序使用坏的/假的证书签名。您不想执行它！您是不是太疯狂了，反而要执行它？[绝不！][不][不][可能]”这样的警告时，会搜索、查找并点击“是”按钮，这甚至给 Firefox 带来了一些坏名声（请注意，这篇文章很无聊，但您可以想象它引起了很多反响）。

Flash 过去被认为是相对安全的，但自从它被广泛使用以来，严重的安全漏洞被发现的频率更高。Flash 小程序还被利用来对其托管的网站发起 XSS 攻击。>

其他插件更难利用，因为它们中的大多数不像 Java 和 Flash 那样托管虚拟机，但它们仍然会暴露缓冲区溢出等漏洞，当输入特制内容时可能会执行任意代码。最近，我们发现了几个这样的插件漏洞，影响 Acrobat Reader、Quicktime、RealPlayer 和其他多媒体助手。

请注意，上述技术通常（95% 的时间）都不会受到已知且尚未修补的可利用问题的影响，但 NoScript 的要点在于：防止利用甚至未知的安全漏洞，因为当发现这些漏洞时可能为时已晚；）最有效的方法是禁用不受信任网站上的潜在威胁。

Answer

确实！

攻击者可以利用恶意脚本执行XSS等多种攻击：

跨站点脚本 (XSS) 是一种通常出现在 Web 应用程序中的计算机安全漏洞，它使恶意攻击者能够将客户端脚本注入其他用户查看的网页中……

阅读更多维基百科。

没有脚本可以让您控制网页（或网站）上的所有脚本及其使用的插件（如 flash、java 等）。您将受信任的站点添加到白名单中，其他站点不得运行脚本，除非您允许它们（暂时或永久）。

A问题和答案在无脚本网站（常问问题）可以提供一些澄清：

为什么我应该只允许受信任的站点执行 JavaScript、Java、Flash 和插件？

JavaScript、Java 和 Flash 虽然是截然不同的技术，但有一个共同点：它们在您的计算机上执行来自远程站点的代码。这三种技术都实现了某种沙盒模型，限制了远程代码可以执行的活动：例如，沙盒代码不应读取/写入本地硬盘，也不应与底层操作系统或外部应用程序交互。即使沙盒是万无一失的（事实并非如此，请参阅下文），即使您或您的操作系统用另一个沙盒包装整个浏览器（例如 Vista 上的 IE7+ 或 Sandboxie），在浏览器内运行沙盒代码的能力也可能被利用来达到恶意目的，例如窃取您在网络上存储或输入的重要信息（信用卡号、电子邮件凭证等）或“冒充”您，例如在虚假的金融交易中，发起“云”攻击，如跨站点脚本 (XSS) 或 CSRF，而无需逃离浏览器或获得高于普通网页的权限。仅凭这一点就足以让脚本只在受信任的站点上运行。此外，许多安全漏洞都旨在实现“特权升级”，即利用沙箱的实现错误来获取更大的特权并执行诸如安装木马、rootkit 和键盘记录器等恶意任务。此类攻击还可以针对 JavaScript、Java、Flash 和其他插件：

JavaScript 似乎是坏人非常宝贵的工具：迄今为止发现的大多数已修复的浏览器可利用漏洞在禁用 JavaScript 时都无效。原因可能是脚本更容易测试和搜索漏洞，即使您是新手黑客：每个人和他的兄弟都认为自己是 JavaScript 程序员 :P

Java 的历史更悠久，至少在其“标准”版本 Sun JVM 中是如此。然而，也存在为 Microsoft JVM 编写的病毒，如 ByteVerifier.Trojan。无论如何，Java 安全模型允许签名的小程序（其完整性和来源由数字证书保证的小程序）以本地权限运行，即就像它们是常规安装的应用程序一样。再加上这样的事实，总有一些用户在看到“此小程序使用坏的/假的证书签名。您不想执行它！您是不是太疯狂了，反而要执行它？[绝不！][不][不][可能]”这样的警告时，会搜索、查找并点击“是”按钮，这甚至给 Firefox 带来了一些坏名声（请注意，这篇文章很无聊，但您可以想象它引起了很多反响）。

Flash 过去被认为是相对安全的，但自从它被广泛使用以来，严重的安全漏洞被发现的频率更高。Flash 小程序还被利用来对其托管的网站发起 XSS 攻击。>

其他插件更难利用，因为它们中的大多数不像 Java 和 Flash 那样托管虚拟机，但它们仍然会暴露缓冲区溢出等漏洞，当输入特制内容时可能会执行任意代码。最近，我们发现了几个这样的插件漏洞，影响 Acrobat Reader、Quicktime、RealPlayer 和其他多媒体助手。

请注意，上述技术通常（95% 的时间）都不会受到已知且尚未修补的可利用问题的影响，但 NoScript 的要点在于：防止利用甚至未知的安全漏洞，因为当发现这些漏洞时可能为时已晚；）最有效的方法是禁用不受信任网站上的潜在威胁。

Question 2

理论上你能在 Linux 和 Mac OS 上感染病毒。大多数人不会感染的原因是 Linux 和 Mac OS 不是主要目标。恶意软件编写者希望以最小的努力撒下大网。其次，Linux/Unix 提供了更多的安全性和更知情的用户（一般来说）。话虽如此，我在 Windows、Mac OS X 和 Ubuntu 上始终使用 Flashblock 和 No Script。页面加载速度更快，它通过阻止 flash cookies 和各种其他问题来帮助在线匿名。我强烈推荐它们，无论平台如何。至少它们让你更清楚页面试图做什么。

Answer

理论上你能在 Linux 和 Mac OS 上感染病毒。大多数人不会感染的原因是 Linux 和 Mac OS 不是主要目标。恶意软件编写者希望以最小的努力撒下大网。其次，Linux/Unix 提供了更多的安全性和更知情的用户（一般来说）。话虽如此，我在 Windows、Mac OS X 和 Ubuntu 上始终使用 Flashblock 和 No Script。页面加载速度更快，它通过阻止 flash cookies 和各种其他问题来帮助在线匿名。我强烈推荐它们，无论平台如何。至少它们让你更清楚页面试图做什么。

Question 3

我在 Firefox 上经常使用 NoScript，并推荐它用于日常使用。

它不会屏蔽广告，因此您仍然需要支持网站管理员的费用。

但是，它确实会阻止 Flash 广告，从而大大减少您浏览时的 CPU 负载（前提是您安装了 Flash 插件）

您可以单独允许内容运行，因此大多数视频共享网站在您允许与视频播放相关的脚本后将开始工作（如果页面上有多个脚本，这可能需要一点猜测）。您授予的权限可能是会话的临时权限，也可能是永久权限，因此除非您决定再次阻止它们，否则网站将正常运行。

在填写网站注册等表格时，最好在填写表格之前允许脚本，这样您就不必重复工作。允许页面上的脚本会强制重新加载页面。

NoScript 为您提供的最重要的保护是防止恶意网站试图更改您的窗口大小、将内容发布到社交网站或进行其他不必要的操作。NoScript 将默认操作更改为拒绝，如果您判断脚本值得信赖，则可以选择按网站进行。

这是 Firefox 的安装链接： https://addons.mozilla.org/en-US/firefox/addon/noscript/

Answer