为什么在Tor浏览器中默认不激活NoScript？

我刚注意到浏览器扩展名 NoScript的 第一次启动Tor浏览器时未激活。这可能是一个很高的安全风险，因为它显然会暴露用户的IP地址，政府可以找到举报人。

这是为了防止一种用户指纹识别方法

从： https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

我们在Tor Browser中默认配置NoScript以允许JavaScript，因为许多网站无法在禁用JavaScript的情况下使用。如果他们想要使用的网站需要JavaScript，大多数用户会完全放弃Tor，因为他们不知道如何允许网站使用JavaScript（或者启用JavaScript可能会使网站工作）。

这里有一个权衡。一方面，我们应该默认启用JavaScript，以便网站按用户期望的方式工作。另一方面，我们应该默认禁用JavaScript以更好地防止浏览器漏洞（不仅仅是理论上的问题！）。但还有第三个问题：网站可以轻松确定您是否允许使用JavaScript，如果您默认禁用JavaScript但允许一些网站运行脚本（大多数人使用NoScript的方式），那么您选择的列入白名单的网站就会作为一种让你可识别（和可辨别）的cookie，从而损害你的匿名性。

最终，我们希望默认的Tor捆绑包使用防火墙的组合（如Tails中的iptables规则）和沙箱，以使JavaScript不那么可怕。在短期内，TBB 3.0有望让用户更容易地选择他们的JavaScript设置 - 但分区问题仍然存在。

在我们到达那里之前，请根据您的安全性，匿名性和可用性优先级开启或关闭JavaScript。