fbpx
维基百科

NoScript

十月 18, 2023

NoScript 是一个为 Mozilla FirefoxMozilla Application Suite网页浏览器 (诸如FlockSeaMonkey等) 所开发的自由的扩展(Add-ons)。NoScript 以白名单选择性执行 JavaScriptJavaFlashSliverlight 以及其它插件和脚本内容。[2]

NoScript
開發者Giorgio Maone
当前版本
  • 11.4.28 (2023年10月8日;穩定版本)[1]
源代码库
  • github.com/hackademix/noscript
操作系统跨平台
语言43種語言
类型Mozilla扩展
许可协议GPL
网站noscript.net

特点 编辑

安全和使用方法 编辑

在安装之后,JavaScript、Java、Flash、Sliverlight和其它可执行内容都会被Firefox默认阻止。用户可以手动允许这些内容。[3] NoScript会在Firefox中占据一个工具栏图标或是一个状态栏图标,并显示正在浏览的页面上每个站点的内容被阻止或允许的情况,同时也可以修改之前阻止或允许的内容。

站点匹配和白名单 编辑

对于每个页面,可以选择允许特定的地址,特定的域名或是根域名并执行它的内容。同时,允许一个域名之后(例如, mozilla.org),它的所有二级域名都会被默认允许(例如 www.mozilla.org, addons.mozilla.org 等等)而且与协议无关(例如HTTPHTTPS)。而允许一个地址之后(协议:主机 例如www.mozilla.org),它的所有子目录都会被允许 (例如www.mozilla.org/firefoxwww.mozilla.org/thunderbird),此时它的根域名和以及其它二级域名不会被允许。因此,mozilla.org和addons.mozilla.org就不会被自动允许。[4]

黑名单 编辑

页面也可以在NoScript中被列入黑名单。把一个页面列入黑名单不仅会阻止执行脚本内容,同时还会去掉手动执行这些内容的选项。[5]即使安全設定低於預設值,NoScript還是可以阻擋一些網頁攻擊,例如DNS重新綁定攻擊[6]

反XSS防护 编辑

2007年4月11日,NoScript 1.1.4.7版公开发布[7],新增了一个客户端的保护,针对类型0和类型1的XSS攻击。一旦一个页面试图将HTML或是JavaScript代码插入另一个页面,NoScript就会过滤掉有害请求。[8]

强制HTTPS转换 编辑

2008年9月15日,NoScript 1.8.1版公开发布[9],使得用户可以强制某些网站必须通过https访问,增加安全性。此外NoScript也可以强制https网站把cookies加密来阻止cookies劫持。[10]
2009年9月23日,NoScript 1.9.8.9版增加了对HSTS的支持。[11]这一功能使得用户在访问支持的网站(例如,PayPal)的时候自动只通过HTTPS访问,以防止中间人攻击[12]

默认阻止一切 编辑

NoScript的默认行为是阻止所有不在白名单中的脚本。这可能使大量依赖于JavaScript技术,例如AJAX的页面无法正常工作。不熟悉的用户也许会觉得相比起增加的安全保护而付出的麻烦不值得。[13]

但同时NoScript也支持一个可选的黑名单模式:用户可以选择全局启用JavaScript然后禁止他们不信任的站点。即便如此配置,NoScript仍然能在很大程度上增强安全性,由于仍然具有XSSCSRF点击劫持等防护功能。

内置的白名单 编辑

截至2009年5月 (2009-05), NoScript的白名单默认包含了扩展作者的部分域名,一些Google的域名(包括一个必要的用于显示Google Adsense广告的域名),雅虎以及微软,由于这些使用了AJAX的Web邮件服务可能是某些用户唯一熟悉的使用邮件方式,如果不这样做,这些用户就会在安装NoScript之后无意地把他们自己锁住。这个白名单是可以修改的。 [14]

奖项 编辑

NoScript被PC World杂志评为2006年百大最佳产品之一。[15]

评论 编辑

和Adblock Plus的争端 编辑

2009年5月1日,Firefox扩展Adblock Plus的作者Wladimir Palant,宣布一周之前的NoScript 1.9.2版开始妨碍Adblock Plus正常工作。NoScript会在未经Adblock Plus和用户允许的情况下解析并显示赞助商页面。Palant说NoScript使用了代码混淆来逃避十六进制代码层面对这个修改的检测。[16][17]几乎同时,Mozilla因此次事件决定修改社区准则。[18]4月30日,NoScript升级到1.9.2.3,把传说中的代码混淆改为了一个用户可见的特性,即NoScript在Adblock Plus的过滤规则中将自己的网站设置为白名单。Wladimir Palant指出这个过滤规则即便被用户删除也会在每次启动的时候自动添加回去,不过这看起来似乎只是个无意的Bug,因为白名单同时也可以被永久禁止或是如NoScript FAQ所说,被用户自己的过滤规则覆盖。[19]几小时之后,2009年5月2日,自动更新的NoScript 1.9.2.6版彻底移除了这一白名单,并在发行记录中对没有在用户事先允许的情况下修改Adblock Plus功能的行为作出公开道歉。[20]2009年5月4日,在博客上一篇长文中,NoScript的作者Giorgio Maone以个人身份对最初含糊的说法表达了歉意,认识到这是破坏了信任关系并对此表示后悔。他同时解释NoScript添加的Adblock Plus白名单是对EasyList反常性“攻击”的对抗,这些攻击针对Manoe的网站,并几乎破坏了页面所有的动态功能,甚至是安装NoScript软件包的链接。[21]

NoScript网站和Ghostery扩展的冲突 编辑

2009年5月1日[22]以及2009年5月3日[23]在讨论NoScript对Adblock Plus的修改时,有人在NoScript支持论坛中指出NoScript官网上有一个CSS规则不停让Ghostery这个Mozilla扩展弹出提示,表示网页上有奇怪而隐蔽的"bug"。Ghostery也会提示用户Manoe网站上Google Adsense的使用。Manoe在回应中宣称他的CSS没有做出这些,Ghostery的提示是由于其自身的技术问题,同时这些提示看起来很糟糕而且妨碍了网页真实效果的展示。[24]在之后的声明中Manoe又特别批评这些提示挡住了了捐款按钮和使用许可的显示[25][26]并且表示他的CSS没有阻止Ghostery的正常工作。[27]

大多数人则认为Manoe的CSS文件包含了足够多的统计代码,Ghostery的判断并没有错。有人指出Ghostery在其原始状态的提示并没有挡住Manoe的捐款按钮,并在几秒钟之后就消失了。另外,用户们指出Manoe的一行样式使得Ghostery无法提供一个网页bug的信息,并认为总体上来说这是Manoe自己的问题。但Manoe仍坚称Ghostery显示信息的方式不合适和过度敏感而导致两个扩展出现了矛盾。

这件事的讨论扩展到了第三方站点,[28][29]有些人谎称干扰了Ghostery工作的是NoScript扩展而不是Manoe的站点。Ghostery的作者David Cancel(页面存档备份,存于互联网档案馆)原先发表了一些过激言论但随后修正了。[30]

2009年5月6日,在此事的激烈讨论平息之后,Maone公开表示他改变了自己的观点,为此他修改了自己站点的CSS。[26]Ghostery的提示框不再被隐藏而是向页面中部轻微移动了一些,以免挡住捐款按钮或是许可信息。

参见 编辑

参考文献 编辑

  1. ^ Release 11.4.28. 2023年10月8日 [2023年10月8日] (英語). 
  2. ^ NoScript What is it? (页面存档备份,存于互联网档案馆NoScript.net
  3. ^ NoScript Features-Usable security (页面存档备份,存于互联网档案馆NoScript.net
  4. ^ NoScript Features-Site matching (页面存档备份,存于互联网档案馆NoScript.net
  5. ^ NoScript Features-Untrusted blacklist (页面存档备份,存于互联网档案馆NoScript.net
  6. ^ Giorgio Maone. al_9x Was Right, My Router is Safe. Hackademix.net. 2010-08-01 [2010-08-02]. (原始内容于2010-08-04). 
  7. ^ NoScript's first Anti-XSS release Mozilla Add-ons (页面存档备份,存于互联网档案馆Mozilla Add-ons
  8. ^ NoScript Features-Anti-XSS protection (页面存档备份,存于互联网档案馆NoScript.net
  9. ^ Force SSL HTTPS Connections In NoScript (页面存档备份,存于互联网档案馆NoScript.net
  10. ^ What can NoScript do against HTTPS cookie hijacking? (页面存档备份,存于互联网档案馆NoScript.net
  11. ^ First public Strict Transport Security implementation. [2011-11-21]. (原始内容于2019-10-18). 
  12. ^ Strict Transport Security in NoScript (页面存档备份,存于互联网档案馆)Template:Work = Hackademix.net
  13. ^ Peter Smith. . Computerworld. International Data Group. 17 Apr 2007 [2 May 2009]. (原始内容存档于2009年2月5日). 
  14. ^ Georgio Maone. Q: What websites are in the default whitelist and why?. The official NoScript FAQ. InformAction. [17 May 2009]. (原始内容于2016-05-09). 
  15. ^ PC World Award (页面存档备份,存于互联网档案馆pcworld.com
  16. ^ Palant, Wladimir. Attention NoScript users. Adblock Plus and (a little) more. 科隆: Wladimir Palant. 2009-05-01 [2009-05-02]. (原始内容存档于2012-02-18). 
  17. ^ mrd.js. [2010-04-25]. (原始内容存档于2012-02-18). 
  18. ^ No Surprises. 2009-05-01 [2010-04-25]. (原始内容于2010-04-20). 
  19. ^ Some hours later, on May 2, 2009, a further automatic NoScript update (version 1.9.2.6) completely removed the Adblock Plus whitelist, and public apologies were given on the release notes page for having modified Adblock Plus' behavior without asking users' consent in advance.
  20. ^ NoScript 1.9.2.6 release notes page. 2009-05-02 [2010-04-25]. (原始内容于2019-10-18). 
  21. ^ Maone, Giorgio. Dear Adblock Plus and NoScript Users, Dear Mozilla Community. Hackademix.net. 2009-05-04 [2009-05-18]. (原始内容存档于2012-02-18). 
  22. ^ NoScript support forum (页面存档备份,存于互联网档案馆) "Re: Latest NoScript version (1.9.2) breaks Adblock Plus", comment #3133, Guest (2009-05-01)
  23. ^ NoScript support forum (页面存档备份,存于互联网档案馆) "Re: Latest NoScript version (1.9.2) breaks Adblock Plus", comment #3610, Curious Inquiry (2009-05-03)
  24. ^ NoScript support forum (页面存档备份,存于互联网档案馆) "Re: Latest NoScript version (1.9.2) breaks Adblock Plus", comment #3133, Giorgio Maone (2009-05-01)
  25. ^ NoScript support forum (页面存档备份,存于互联网档案馆) "Re: Latest NoScript version (1.9.2) breaks Adblock Plus", comment #3704, Giorgio Maone (2009-05-04)
  26. ^ 26.0 26.1 NoScript support forum (页面存档备份,存于互联网档案馆) "Re: Additional steps to regain and retain user trust", comment #3935, Giorgio Maone (2009-05-06)
  27. ^ Ghostery News (页面存档备份,存于互联网档案馆) "Attention all NoScript users", comment by Giorgio Maone, (2009-05-05)
  28. ^ Twitter (页面存档备份,存于互联网档案馆) tweet by Mark Pilgrim (diveintomark) (2009-05-03)
  29. ^ yardley.ca (页面存档备份,存于互联网档案馆) "When blockers block the blockers", Greg Yardley (2009-05-04)
  30. ^ Ghostery News (页面存档备份,存于互联网档案馆) "Attention all NoScript users", David Cancel (2009-05-03)

外部链接 编辑

十月 18, 2023
noscript, 是一个为, mozilla, firefox, mozilla, application, suite网页浏览器, 诸如flock, seamonkey等, 所开发的自由的扩展, 以白名单选择性执行, javascript, java, flash, sliverlight, 以及其它插件和脚本内容, 開發者giorgio, maone当前版本11, 2023年10月8日, 穩定版本, 源代码库github, hackademix, noscript操作系统跨平台语言43種語言类型mozilla. NoScript 是一个为 Mozilla Firefox 和 Mozilla Application Suite网页浏览器 诸如Flock SeaMonkey等 所开发的自由的扩展 Add ons NoScript 以白名单选择性执行 JavaScript Java Flash Sliverlight 以及其它插件和脚本内容 2 NoScript開發者Giorgio Maone当前版本11 4 28 2023年10月8日 穩定版本 1 源代码库github wbr com wbr hackademix wbr noscript操作系统跨平台语言43種語言类型Mozilla扩展许可协议GPL网站noscript net自由软件主题 目录 1 特点 1 1 安全和使用方法 1 2 站点匹配和白名单 1 3 黑名单 1 4 反XSS防护 1 5 强制HTTPS转换 1 6 默认阻止一切 1 7 内置的白名单 2 奖项 3 评论 3 1 和Adblock Plus的争端 3 2 NoScript网站和Ghostery扩展的冲突 4 参见 5 参考文献 6 外部链接特点 编辑安全和使用方法 编辑 在安装之后 JavaScript Java Flash Sliverlight和其它可执行内容都会被Firefox默认阻止 用户可以手动允许这些内容 3 NoScript会在Firefox中占据一个工具栏图标或是一个状态栏图标 并显示正在浏览的页面上每个站点的内容被阻止或允许的情况 同时也可以修改之前阻止或允许的内容 站点匹配和白名单 编辑 对于每个页面 可以选择允许特定的地址 特定的域名或是根域名并执行它的内容 同时 允许一个域名之后 例如 mozilla org 它的所有二级域名都会被默认允许 例如 www mozilla org addons mozilla org 等等 而且与协议无关 例如HTTP和HTTPS 而允许一个地址之后 协议 主机 例如www wbr mozilla wbr org 它的所有子目录都会被允许 例如www wbr mozilla wbr org wbr firefox 和www wbr mozilla wbr org wbr thunderbird 此时它的根域名和以及其它二级域名不会被允许 因此 mozilla org和addons mozilla org就不会被自动允许 4 黑名单 编辑 页面也可以在NoScript中被列入黑名单 把一个页面列入黑名单不仅会阻止执行脚本内容 同时还会去掉手动执行这些内容的选项 5 即使安全設定低於預設值 NoScript還是可以阻擋一些網頁攻擊 例如DNS重新綁定攻擊 6 反XSS防护 编辑 2007年4月11日 NoScript 1 1 4 7版公开发布 7 新增了一个客户端的保护 针对类型0和类型1的XSS攻击 一旦一个页面试图将HTML或是JavaScript代码插入另一个页面 NoScript就会过滤掉有害请求 8 强制HTTPS转换 编辑 2008年9月15日 NoScript 1 8 1版公开发布 9 使得用户可以强制某些网站必须通过https访问 增加安全性 此外NoScript也可以强制https网站把cookies加密来阻止cookies劫持 10 2009年9月23日 NoScript 1 9 8 9版增加了对HSTS的支持 11 这一功能使得用户在访问支持的网站 例如 PayPal 的时候自动只通过HTTPS访问 以防止中间人攻击 12 默认阻止一切 编辑 NoScript的默认行为是阻止所有不在白名单中的脚本 这可能使大量依赖于JavaScript技术 例如AJAX的页面无法正常工作 不熟悉的用户也许会觉得相比起增加的安全保护而付出的麻烦不值得 13 但同时NoScript也支持一个可选的黑名单模式 用户可以选择全局启用JavaScript然后禁止他们不信任的站点 即便如此配置 NoScript仍然能在很大程度上增强安全性 由于仍然具有XSS CSRF和点击劫持等防护功能 内置的白名单 编辑 截至2009年5月 2009 05 update NoScript的白名单默认包含了扩展作者的部分域名 一些Google的域名 包括一个必要的用于显示Google Adsense广告的域名 雅虎以及微软 由于这些使用了AJAX的Web邮件服务可能是某些用户唯一熟悉的使用邮件方式 如果不这样做 这些用户就会在安装NoScript之后无意地把他们自己锁住 这个白名单是可以修改的 14 奖项 编辑NoScript被PC World杂志评为2006年百大最佳产品之一 15 评论 编辑和Adblock Plus的争端 编辑 2009年5月1日 Firefox扩展Adblock Plus的作者Wladimir Palant 宣布一周之前的NoScript 1 9 2版开始妨碍Adblock Plus正常工作 NoScript会在未经Adblock Plus和用户允许的情况下解析并显示赞助商页面 Palant说NoScript使用了代码混淆来逃避十六进制代码层面对这个修改的检测 16 17 几乎同时 Mozilla因此次事件决定修改社区准则 18 4月30日 NoScript升级到1 9 2 3 把传说中的代码混淆改为了一个用户可见的特性 即NoScript在Adblock Plus的过滤规则中将自己的网站设置为白名单 Wladimir Palant指出这个过滤规则即便被用户删除也会在每次启动的时候自动添加回去 不过这看起来似乎只是个无意的Bug 因为白名单同时也可以被永久禁止或是如NoScript FAQ所说 被用户自己的过滤规则覆盖 19 几小时之后 2009年5月2日 自动更新的NoScript 1 9 2 6版彻底移除了这一白名单 并在发行记录中对没有在用户事先允许的情况下修改Adblock Plus功能的行为作出公开道歉 20 2009年5月4日 在博客上一篇长文中 NoScript的作者Giorgio Maone以个人身份对最初含糊的说法表达了歉意 认识到这是破坏了信任关系并对此表示后悔 他同时解释NoScript添加的Adblock Plus白名单是对EasyList反常性 攻击 的对抗 这些攻击针对Manoe的网站 并几乎破坏了页面所有的动态功能 甚至是安装NoScript软件包的链接 21 NoScript网站和Ghostery扩展的冲突 编辑 2009年5月1日 22 以及2009年5月3日 23 在讨论NoScript对Adblock Plus的修改时 有人在NoScript支持论坛中指出NoScript官网上有一个CSS规则不停让Ghostery这个Mozilla扩展弹出提示 表示网页上有奇怪而隐蔽的 bug Ghostery也会提示用户Manoe网站上Google Adsense的使用 Manoe在回应中宣称他的CSS没有做出这些 Ghostery的提示是由于其自身的技术问题 同时这些提示看起来很糟糕而且妨碍了网页真实效果的展示 24 在之后的声明中Manoe又特别批评这些提示挡住了了捐款按钮和使用许可的显示 25 26 并且表示他的CSS没有阻止Ghostery的正常工作 27 大多数人则认为Manoe的CSS文件包含了足够多的统计代码 Ghostery的判断并没有错 有人指出Ghostery在其原始状态的提示并没有挡住Manoe的捐款按钮 并在几秒钟之后就消失了 另外 用户们指出Manoe的一行样式使得Ghostery无法提供一个网页bug的信息 并认为总体上来说这是Manoe自己的问题 但Manoe仍坚称Ghostery显示信息的方式不合适和过度敏感而导致两个扩展出现了矛盾 这件事的讨论扩展到了第三方站点 28 29 有些人谎称干扰了Ghostery工作的是NoScript扩展而不是Manoe的站点 Ghostery的作者David Cancel 页面存档备份 存于互联网档案馆 原先发表了一些过激言论但随后修正了 30 2009年5月6日 在此事的激烈讨论平息之后 Maone公开表示他改变了自己的观点 为此他修改了自己站点的CSS 26 Ghostery的提示框不再被隐藏而是向页面中部轻微移动了一些 以免挡住捐款按钮或是许可信息 参见 编辑GNU LibreJS 英语 GNU LibreJS JavaScript陷阱参考文献 编辑 Release 11 4 28 2023年10月8日 2023年10月8日 英語 引文格式1维护 未识别语文类型 link NoScript What is it 页面存档备份 存于互联网档案馆 NoScript net NoScript Features Usable security 页面存档备份 存于互联网档案馆 NoScript net NoScript Features Site matching 页面存档备份 存于互联网档案馆 NoScript net NoScript Features Untrusted blacklist 页面存档备份 存于互联网档案馆 NoScript net Giorgio Maone al 9x Was Right My Router is Safe Hackademix net 2010 08 01 2010 08 02 原始内容存档于2010 08 04 NoScript s first Anti XSS release Mozilla Add ons 页面存档备份 存于互联网档案馆 Mozilla Add ons NoScript Features Anti XSS protection 页面存档备份 存于互联网档案馆 NoScript net Force SSL HTTPS Connections In NoScript 页面存档备份 存于互联网档案馆 NoScript net What can NoScript do against HTTPS cookie hijacking 页面存档备份 存于互联网档案馆 NoScript net First public Strict Transport Security implementation 2011 11 21 原始内容存档于2019 10 18 Strict Transport Security in NoScript 页面存档备份 存于互联网档案馆 Template Work Hackademix net Peter Smith Top 10 Firefox extensions to avoid Computerworld International Data Group 17 Apr 2007 2 May 2009 原始内容存档于2009年2月5日 Georgio Maone Q What websites are in the default whitelist and why The official NoScript FAQ InformAction 17 May 2009 原始内容存档于2016 05 09 PC World Award 页面存档备份 存于互联网档案馆 pcworld com Palant Wladimir Attention NoScript users Adblock Plus and a little more 科隆 Wladimir Palant 2009 05 01 2009 05 02 原始内容存档于2012 02 18 mrd js 2010 04 25 原始内容存档于2012 02 18 No Surprises 2009 05 01 2010 04 25 原始内容存档于2010 04 20 Some hours later on May 2 2009 a further automatic NoScript update version 1 9 2 6 completely removed the Adblock Plus whitelist and public apologies were given on the release notes page for having modified Adblock Plus behavior without asking users consent in advance NoScript 1 9 2 6 release notes page 2009 05 02 2010 04 25 原始内容存档于2019 10 18 Maone Giorgio Dear Adblock Plus and NoScript Users Dear Mozilla Community Hackademix net 2009 05 04 2009 05 18 原始内容存档于2012 02 18 NoScript support forum 页面存档备份 存于互联网档案馆 Re Latest NoScript version 1 9 2 breaks Adblock Plus comment 3133 Guest 2009 05 01 NoScript support forum 页面存档备份 存于互联网档案馆 Re Latest NoScript version 1 9 2 breaks Adblock Plus comment 3610 Curious Inquiry 2009 05 03 NoScript support forum 页面存档备份 存于互联网档案馆 Re Latest NoScript version 1 9 2 breaks Adblock Plus comment 3133 Giorgio Maone 2009 05 01 NoScript support forum 页面存档备份 存于互联网档案馆 Re Latest NoScript version 1 9 2 breaks Adblock Plus comment 3704 Giorgio Maone 2009 05 04 26 0 26 1 NoScript support forum 页面存档备份 存于互联网档案馆 Re Additional steps to regain and retain user trust comment 3935 Giorgio Maone 2009 05 06 Ghostery News 页面存档备份 存于互联网档案馆 Attention all NoScript users comment by Giorgio Maone 2009 05 05 Twitter 页面存档备份 存于互联网档案馆 tweet by Mark Pilgrim diveintomark 2009 05 03 yardley ca 页面存档备份 存于互联网档案馆 When blockers block the blockers Greg Yardley 2009 05 04 Ghostery News 页面存档备份 存于互联网档案馆 Attention all NoScript users David Cancel 2009 05 03 外部链接 编辑NoScript官方网站 页面存档备份 存于互联网档案馆 英文 Mozilla Add ons网站上的NoScript页面 页面存档备份 存于互联网档案馆 取自 https zh wikipedia org w index php title NoScript amp oldid 73583696, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。