NoScript插件下载
NoScript是专为firefox浏览器的用户制作的插件,它可以指定网站开启JavaScript、Java、flash等插件,如果没有在名单里,是无法启动这些插件的,这样就有效的杜绝了XSS和clickjacking,如果您经常使用火狐登录网银,这将是您的必备插件。
1、可用的安全性
当您安装NoScript,JavaScript,Java,Flash Silverlight和可能其他可执行内容默认情况下被阻止。您将能够选择性地 允许在您信任的网站上执行JavaScript / Java / ...(从现在开始的脚本)。你可以允许一个网站临时运行脚本,如果你只是随机地或永久地浏览,当你经常访问它,你真的相信它。这意味着NoScript会从您自己的浏览器习惯中学习,并且会在一段时间后在后台消失,但是如果您绊倒在恶意网页上,它会立即回来保存您的一天。
2、网站匹配
对于每个网站,您可以决定允许确切的地址,或确切的域或父域。如果您启用一个域(例如mozilla.org),则会隐式启用其所有可能的协议(例如http和https)的所有子域(例如www.mozilla.org,addons.mozilla.org等)。
如果您启用地址(协议://主机,例如http://www.mozilla.org),您将启用其子目录(例如http://www.mozilla.org/firefox和http://www.mozilla .org / thunderbird),而不是其域的祖先和它的兄弟姐妹,即mozilla.org和addons.mozilla.org 不会被自动启用
默认情况下只显示第二级(基本)域(如mozilla.org)显示在菜单中,但您可以 配置外观 以显示完整的域和完整的地址。
3、超越JavaScript:阻止Java,Silverlight,Flash等嵌入内容
虽然其主要目的是防止恶意JavaScript运行,但 NoScript有效地阻止了您未明确列入白名单的网站上的Java™,Silverlight™,Flash®和其他插件和嵌入(例如HTML视频/音频元素和可下载字体)。
Java Applet,Flash电影/应用程序,Quicktime剪辑,PDF文档和其他内容甚至不会从您认为他们烦恼或危险的网站下载,节省您的带宽和提高您的导航速度。
在早期的NoScript版本中,只有JavaScript和Java被默认阻止,这个限制已经扩展到Flash和其他可嵌入的内容,以防止 基于Flash的XSS 和其他基于插件的攻击。无论如何,您可以使用NoScript Options | Embeddings面板配置要禁止的内容的类型。
状态栏工具提示和消息栏显示<script>计数旁边检测到的嵌入的总数(<OBJECT>)。请记住,有些网站使用Java小程序,Silverlight嵌入式对象或Flash电影来提供丰富的内容和应用程序,因此,如果您遇到一些需要使用的网页,但您发现某些功能缺失,请考虑您阻止一些必要的小程序或电影。
4、不受信任的黑名单
某些网站(尤其是投放广告的网站)可能会在您的“允许...”菜单中更频繁地显示,使其过于冗长和嘈杂。
如果您知道您现在不想允许某个网站,并且在可预见的将来,您可以将其永久标记为不受信任:只需点击NoScript图标,打开不受信任菜单,然后选择将bad badsite.com标记为不受信任菜单项目。NoScript甚至不会建议您再次允许它,您的NoScript将更加干净和可用。
5、防XSS保护
跨站脚本(XSS)漏洞通常是由Web开发人员进行的编程错误,允许攻击者将自己的恶意代码从某个站点注入到不同的站点。例如,它们可用于窃取您的身份验证凭据,更一般地,可以在受害站点上模拟您(例如,您的网上银行或您的网络邮件)。
这种常常被忽视的漏洞是非常普遍的,并且在黑客中非常流行:有人甚至打算编写一个基于JavaScript的bot,称为Jikto,将你的浏览器变成一个僵尸,无休止地发送自动的XSS攻击。当然,这个工具已经建立了“用于研究目的”,但它的代码不幸似乎泄露在野外,所以任何人都可以利用它,现在...
NoScript XSS通知及其菜单 NoScript的拥有独特的防XSS反制措施对 XSS键入0(基于DOM)和 XSS 1型(反射,绝对是最常见的), 有针对性地列入白名单的网站的攻击。每当某个网站尝试在不同的受信任(已列入白名单和启用JavaScript的)网站中插入JavaScript代码时,NoScript会对恶意请求进行过滤,以消除其危险负载。
