用了好几年NoScript,从Firefox到Tor Browser,它始终是我对抗恶意脚本和零日漏洞的首选工具。别被它略显硬核的界面吓到——当你真正理解它在做什么,就会明白为什么PC World会颁给它大奖,而Tor团队直接把它默认捆进浏览器。
NoScript怎么保护你?
简单说,它默认阻止所有网站运行JavaScript、Flash、Java这类活动内容,只有你手动加到白名单的域名才能执行。这意味着恶意网站想利用漏洞弹窗、挖矿或者发起XSS攻击?门都没有。就算曝出像Spectre、Meltdown那种CPU级别的漏洞,NoScript也能在浏览器层挡住。
更狠的是,它连跨站请求伪造(CSRF)和点击劫持都防。某天你打开路由器管理页面,如果有个恶意脚本想通过DNS重新绑定篡改设置,NoScript会直接按死。日常体验就是:陌生的网站一律灰屏,只显示静态文字和纯图片。虽然不是所有人都能接受这种“断网”感,但只要你信任的域名(比如网银、常用邮箱)加了白名单,功能完全正常。
和同类插件对比,它强在哪?
- vs uBlock Origin:uBlock侧重过滤广告和资源,虽然也能拦截部分脚本,但对XSS、CSRF、点击劫持的防护不如NoScript深入。NoScript是从执行权限层面卡死,uBlock更偏向网络请求层级。两不冲突,我经常一起用——uBlock清广告,NoScript管脚本白名单,效果叠加。
- vs Privacy Badger:Badger靠学习跟踪行为来自动屏蔽,但它不会阻止第一方脚本(比如网站自身的JavaScript),因为有些网站的功能本身就依赖它。NoScript则一视同仁:所有脚本都先禁,你要用就得手动放行。坏处是初期学习成本高,好处是连零日漏洞都能防,因为恶意脚本根本没机会运行。
- vs ScriptSafe(已停更):ScriptSafe曾是Chrome上不错的脚本控制工具,但项目早就不维护了。NoScript一直保持更新,而且有专门针对Tor浏览器的优化,比如防止指纹识别。
缺点也不是没有
小白初次使用可能会崩溃:打开一个正常网站发现全是空白,得先点NoScript图标一个个放行子域名(比如CDN资源、分析服务)。另一个问题是,有些现代网页严重依赖脚本(比如Gmail、Google Maps),不放行几乎不可用。但这就是安全与便利的权衡——你愿意多花10秒配置白名单,换来几乎100%的安全回报吗?反正我推荐所有重视隐私的朋友这么干。
另外,移动端Firefox没办法完美支持NoScript的全套功能,移动版隐私保护建议配合其他方案。
总结:谁该用它?
如果你日常访问的网站相对稳定(几个常用银行、博客、办公套件),并且受够了莫名其妙的弹窗和挖矿脚本,NoScript是你最后的防线。它和其他安全插件完全不冲突,甚至可以叠加上去。记住:多一层控制,就多一分安心。别指望它一次配置就一劳永逸——但一旦配置好了,你会发现浏览体验干净得像回到了Web 1.0时代。