我应该使用无脚本吗？

我听说网络浏览是当今计算机上最有可能的恶意软件来源。我还听说人们不必担心Linux上的病毒。因此，我应该使用浏览器扩展程序使我可以针对喜欢的域（例如No-Script或Not-Script）选择性地启用javascript吗？

绝对！

攻击者可以使用恶意脚本执行多种攻击，例如XSS：

跨站点脚本（XSS）是一种计算机安全漏洞，通常在Web应用程序中发现，它使恶意攻击者能够将客户端脚本注入其他用户查看的网页中...

在Wikipedia中阅读更多内容。

没有脚本可以控制网页（或网站）上的所有脚本以及它使用的插件（例如Flash，Java等）。将受信任的网站添加到白名单中，其他网站则不能运行脚本，除非您允许他们（临时或永久）。

一个问题，它的回答就没有脚本的网站（FAQ）可以提供一些澄清：

为什么只允许对受信任的站点执行JavaScript，Java，Flash和插件？

JavaScript，Java和Flash，即使是非常不同的技术，也有一个共同点：它们在来自远程站点的计算机代码上执行。这三种方法都实现了某种沙盒模型，从而限制了远程代码可以执行的活动：例如，沙盒代码不应读/写本地硬盘，也不能与基础操作系统或外部应用程序进行交互。即使沙箱是防弹的（并非如此，请阅读下文），即使您或您的操作系统使用另一个沙箱（例如Vista或IE的IE7 +）包装整个浏览器，仅在浏览器内部运行沙盒代码的能力也可以被用于恶意目的，例如，窃取您在网络上存储或输入的重要信息（信用卡号，电子邮件凭据等）或“冒充”您，例如 在虚假的金融交易中，发动跨站点脚本（XSS）或CSRF之类的“云”攻击，而无需逃脱浏览器或获得比普通网页更高的特权。仅此一项就足以允许仅在受信任的站点上编写脚本。此外，许多安全漏洞利用旨在实现“特权升级”，即利用沙箱的实现错误来获取更大的特权并执行讨厌的任务，如安装特洛伊木马，rootkit和键盘记录程序。这种攻击也可以针对JavaScript，Java，Flash和其他插件：仅此一项就足以允许仅在受信任的站点上编写脚本。此外，许多安全漏洞利用旨在实现“特权升级”，即利用沙箱的实现错误来获取更大的特权并执行讨厌的任务，如安装特洛伊木马，rootkit和键盘记录程序。这种攻击也可以针对JavaScript，Java，Flash和其他插件：仅此一项就足以允许仅在受信任的站点上编写脚本。此外，许多安全漏洞利用旨在实现“特权升级”，即利用沙箱的实现错误来获取更大的特权并执行讨厌的任务，如安装特洛伊木马，rootkit和键盘记录程序。这种攻击也可以针对JavaScript，Java，Flash和其他插件：

1. 对于坏蛋来说，JavaScript看起来是一个非常宝贵的工具：如果禁用JavaScript，迄今为止发现的大多数固定的浏览器可利用漏洞都将无效。也许是因为即使您是新手黑客，脚本也更易于测试和查找漏洞：每个人和他的兄弟都相信自己是JavaScript程序员：P

2. Java至少在其“标准”化身Sun JVM方面具有更好的历史。相反，已经为Microsoft JVM编写了一些病毒，例如ByteVerifier.Trojan。无论如何，Java安全模型都允许签名的小程序（其完整性和起源由数字证书保证的小程序）以本地特权运行，即就像它们是常规安装的应用程序一样。这一点，加上事实总有谁，像“此applet的警告面前的是一个坏/假证书签名的用户。你不希望执行它！你这么生气执行它，而不是？[永远不会。 ）。

3. 闪存曾经被认为是相对安全的，但是自从闪存的使用变得如此广泛以来，发现更高级别的严重安全漏洞。Flash applet也已被利用来对其托管站点发起XSS攻击。

4. 其他插件很难利用，因为它们大多数都没有像Java和Flash那样托管虚拟机，但是它们仍然可以暴露出缓冲区溢出之类的漏洞，当它们加载特制内容时可能会执行任意代码。最近，我们发现了其中一些插件漏洞，这些漏洞影响了Acrobat Reader，Quicktime，RealPlayer和其他多媒体帮助程序。

请注意，上述任何一种技术通常（95％的时间）都不受公知且仍未修补的可利用问题的影响，但是NoScript的要点是：防止发现甚至未知但安全的漏洞，因为当它们被发现时可能为时已晚；）最有效的方法是禁用不受信任站点上的潜在威胁。

从理论上讲，您可以在Linux和Mac OS上感染病毒。大多数人没有的原因是因为Linux和Mac OS并不是主要目标。恶意软件编写者希望以最小的努力铸造一个广阔的网络。其次，Linux / Unix在安全性方面提供了更多功能，并且为用户提供了更好的通知（通常）。话虽如此，我一直在Windows，Mac OS X和Ubuntu上使用Flashblock和No Script。页面加载速度更快，它可以防止Flash Cookie和各种其他问题，从而有助于在线匿名。无论平台如何，我都强烈推荐它们。至少，它们使您更了解页面要执行的操作。

我经常在Firefox上使用NoScript，并建议将其日常使用。

它不会阻止广告，因此您仍然可以为管理员支付站点成本。

但是，它确实会阻止Flash广告，从而大大减少了浏览时的CPU负载（前提是您已安装Flash插件）

您可以单独运行内容，因此，大多数视频共享站点将在您允许与视频播放相关的脚本后开始工作（如果页面上有多个脚本，可能需要一点猜测）。您授予的权限可能是该会话的临时权限，也可以是永久权限，因此除非您决定再次阻止它们，否则该网站将正常运行。

填写表单（例如网站注册）时，最好在填写表单之前允许脚本，这样您就不必重复工作。在页面上允许脚本会强制重新加载页面。

NoScript授予您的最重要的保护措施是防止恶意网站尝试更改窗口大小，将内容发布到社交网站或执行其他不需要的任何操作。NoScript将默认操作更改为拒绝，如果您认为脚本是可信任的，则可以选择每个站点。

这是Firefox的安装链接：https : //addons.mozilla.org/en-US/firefox/addon/noscript/