Как блокировать JavaScript в браузере: ScriptSafe и NoScript

Блокировка JavaScript уменьшает навязливую рекламу и снижает риск XSS‑атак. Для Chrome/Chromium используйте ScriptSafe, для Firefox — NoScript; настройте разрешения по доменам и комбинируйте с uBlock Origin и HTTPS Everywhere.

Зачем блокировать JavaScript

JavaScript даёт интерактивность и анимацию. Одновременно он стал источником назойливой рекламы, всплывающих окон и векторов атак, например XSS. Блокируя скрипты из ненадёжных источников, вы получаете нужный контент и защищаете приватность.

Ключевые эффекты блокировки

• Меньше рекламы и трекеров.
• Меньше рисков удалённого выполнения кода.
• Некоторая функциональность сайта может перестать работать.

Важно: блокировка по‑умолчанию ломает некоторые сайты при первом посещении. Разрешайте только те домены, которым доверяете.

Как работают блокировщики скриптов — простая модель

Блокировщики перехватывают загрузку внешних скриптов и встраиваемого кода. Они применяют правила по доменам и URL, разрешая или запрещая выполнение. Ментальная модель: войти в сайт — блокировщик спрашивает «доверяю/не доверяю» каждому источнику кода.

Определения в одну строку

• XSS — межсайтовый скриптинг, когда вредоносный код исполняется в контексте страницы.
• Доменное разрешение — политика, которая применяется к целому домену (*.example.com).

ScriptSafe для Chrome и браузеров на Chromium

ScriptSafe блокирует скрипты в Chrome и в Chromium‑браузерах (например, Vivaldi). По умолчанию расширение блокирует почти все скрипты. Вы вручную разрешаете отдельные URL или целые домены. Это может сломать сайт первый раз, но после настройки ScriptSafe обычно «уходит на задний план». При необходимости можно настроить поведение, чтобы скрипты разрешались по‑умолчанию.

Нажмите на иконку ScriptSafe, чтобы увидеть список заблокированного содержимого. Интерфейс организован по доменам для удобного включения и отключения.

• «Allow» разрешает конкретный URL.
• «Trust» разрешает весь домен (*.example.com).
• «Deny» и «Distrust» блокируют URL и домен соответственно.

Некоторые провайдеры автоматически помечаются как «unwanted», что блокирует контент, но не весь хост. Есть временные разрешения: они сбрасываются при перезапуске браузера.

ScriptSafe предлагает множество опций для опытных пользователей: защита от браузерного фингерпринтинга, блокировка XSS, противодействие clickjacking.

NoScript для Firefox

ScriptSafe работает только в Chromium‑семействе. Пользователи Firefox могут установить NoScript. Это зрелое расширение с долгой историей обновлений. Поведение очень похоже на ScriptSafe: скрипты блокируются до тех пор, пока вы явно не разрешите хост.

Кликните по иконке NoScript или наведите на неё курсор, чтобы увидеть заблокированные скрипты. Можно также открыть «Options …» в уведомлении внизу окна. На тяжёлых сайтах, например nypost.com, вы увидите десятки и более ста заблокированных скриптов.

NoScript также работает по доменам. Рядом с доменом доступны опции «Allow» и «Temporarily allow».

• «Allow» даёт постоянное разрешение для домена.
• «Temporarily allow» действует до конца сессии.

Есть опция «Untrusted». Пометка домена как untrusted удаляет его из выпадающего списка — вы уже не сможете разрешить скрипты с этого домена. Будьте осторожны с таким блоком.

Вы можете разрешить все скрипты на странице разом. Наведение на «Allow all on this page» показывает подсказку с доменами, которые будут разрешены. Учтите, что NoScript «видит» только те скрипты, которые загрузились при первоначальном парсинге страницы. Некоторые скрипты порождают другие скрипты, так что приходится повторять операцию.

Можно полностью отключить NoScript, выбрав «Allow scripts globally».

Быстрый чеклист настройки (Playbook)

1. Установите ScriptSafe в Chrome или NoScript в Firefox.
2. Отключите глобальное разрешение скриптов при установке.
3. Посетите критические сайты: почта, банк, рабочие инструменты.
4. Включайте скрипты только для доменов, необходимых для функции.
5. Используйте «Temporarily allow» для тестирования.
6. Добавьте uBlock Origin для блокировки рекламных доменов.
7. Включите HTTPS Everywhere для принуждения HTTPS там, где возможно.
8. Раз в неделю проверяйте список доверенных доменов и удаляйте лишние.

Критерии приёмки

• Основные рабочие сайты загружаются корректно после настройки.
• Реклама и трекеры уменьшились заметно.
• Нет постоянных сценариев, где требуется глобальное разрешение скриптов.

Роли и чек-листы

Для конечного пользователя

• Разрешайте минимальный набор доменов.
• Используйте временные разрешения для новых сайтов.
• Периодически очищайте временные разрешения.

Для администратора ИТ

• Подготовьте список доверенных доменов для корпоративных приложений.
• Настройте документацию по установке расширений.
• Обучите сотрудников, как сообщать о сломанных страницах.

Для веб‑разработчика

• Минимизируйте зависимость от внешних скриптов.
• Укажите критические домены в документации для пользователей.
• Тестируйте сайт с инструментами блокировки скриптов.

Сравнение ScriptSafe и NoScript

Когда блокировка скриптов не подходит

• Сайты с требуемой сложной логикой (банковские приложения, SaaS), где много динамических загрузок и фреймов.
• Если вы не готовы тратить время на тонкую настройку.

В таких случаях используйте комбинированный подход: uBlock Origin + селективные разрешения скриптов.

Риски и меры смягчения

Риски

• Ошибки отображения и ухудшение юзабилити.
• Неправильные разрешения создают ложное чувство безопасности.

Меры

• Документируйте доверенные домены.
• Используйте временные разрешения для отладки.
• Проводите ревизию списка разрешённых доменов раз в месяц.

Приватность и соответствие требованиям (GDPR и локальные правила)

Блокировка скриптов уменьшает передачу персональных данных третьим сторонам. Тем не менее:

• Политика конфиденциальности сайта остаётся источником правовой информации.
• Для корпоративных данных настройте белые списки через ИТ и проверьте совместимость с локальными правилами обработки данных.

Совместимость и советы по миграции

• ScriptSafe доступен только в Chromium‑браузерах. Для перехода на Firefox используйте NoScript.
• Экспорт/импорт настроек между этими расширениями напрямую неполный. Подготовьте список доменов вручную.

Краткий глоссарий

• Скрипт — исполняемый код на странице.
• Домен — основной адрес, например example.com.
• URL — адрес конкретного ресурса.
• XSS — уязвимость исполнения чужого кода.

Тестовые сценарии и приёмка

• Откройте почту и проверьте отправку/получение писем.
• Откройте интернет‑банк и проверьте вход и операции в песочнице.
• Перейдите на новостной сайт и проверьте, что основная статья отображается без ошибок после разрешения минимального набора доменов.

Заключение

Расширения‑блокировщики скриптов, такие как NoScript и ScriptSafe, — важный инструмент для безопасности браузера. Они хорошо сочетаются с uBlock Origin и HTTPS Everywhere. Инвестируйте время в первоначальную настройку: это окупается снижением рекламы и рисков.

Важное

• Всегда проверяйте, какие домены вы разрешаете.
• Пользуйтесь временными разрешениями для тестирования.

Короткое резюме

• Установите ScriptSafe для Chrome или NoScript для Firefox.
• Блокируйте по доменам, разрешайте минимально.
• Комбинируйте с uBlock Origin и HTTPS Everywhere для лучшей защиты.