我想运行一个单独的管理员帐户在我的计算机上禁用 Javascript,以提高安全性。
通常建议禁用 javascript,以阻止最近的 0day 漏洞。HTML 已经支持读取文本页面;这不是 javascript 独有的功能。
但是,当禁用 javascript 时,support.microsoft.com 拒绝显示文本文章的内容。
我可以使用 Google 的缓存(搜索结果中的“缓存”链接),但这非常繁琐。真的没有办法在不对打开的任何网页启用 Javascript 的情况下查看 Microsoft 的支持文章吗?
答案1
仅仅在页面上添加样式或内容拦截器是不够的,因为数据不存在;您可以通过在页面源代码中搜索应包含在页面中的单词来验证这一点。页面脚本从许多不同的来源获取页面的各个部分(是的,这确实会影响性能),而文章内容具体是从中获取的https://support.microsoft.com/api/content/Asset/<id>。
免责声明:我并不是安全专家,也算不上什么专家。此外,不同的用户需要不同的安全级别。仅仅因为我没有说某件事很危险,并不意味着它对你来说足够安全。我不能取代付费顾问。如果你的情况需要,不要忘记其他防线,例如 VM。
我可以想到以下选择:
为该特定域启用 JavaScript。虽然这不如完全阻止那么安全,但域白名单仍然比在所有地方启用 JavaScript 更安全,因为任何攻击媒介都必须通过白名单域。不要忘记仅将 HTTPS URL 列入白名单。
用您自己的插件、用户脚本或书签小程序替换页面 JavaScript。即使页面 JavaScript 被插件禁用,用户脚本仍可运行,尽管您的里程可能会有所不同。从本地(缓存)源抓取 Angular 框架并针对页面内容运行的用户脚本可能就足够了,但我无法对此做出明确的承诺。
不过,要注意安全。从本地源安装用户脚本会阻止自动升级,因此请使用它。更糟糕的是,如果您不自己编写脚本或检查源代码,您将不得不信任脚本作者,而用户脚本更高的特权比页面JavaScript和浏览器插件更加强大,你甚至不信任页面自己的JavaScript。
使用外部服务来查看页面 - 但任何 Google 缓存的替代品可能使用起来都不太舒服,除非您设法找到 Microsoft Help 的镜像。
直接访问 API 端点。繁琐但安全。我不推荐这个选项,但它仍然存在。