NoScript
about:config
ЛКМ = Leftclick, СКМ = Middleclick, ПКМ = Rightclick
(1.2.3) = https://noscript.net/changelog#1.2.3
Некоторые ссылки, например: maone.net/viewtopic, flashgot.net/viewtopic
побились с течением времени, и приведены только во имя справедливости.
NS не добавляет свой параметр в about:config для
Дополнительно -> Доверенные -> «Разрешить использование <A PING…>»,
просто переключается browser.send_pings.
capability.policy.maonoscript.sites
Весь белый список (пользовательский, default, mandatory).
https://forum.mozilla-russia.org/viewtopic…#p369168 Infocatcher
https://forums.informaction.com/viewtopic.php?f=7&t=22187
extensions.{73a6fe31-595d-460b-a920-fcc0f8843232}.update.enabled
false — отключить автообновление.
https://noscript.net/faq#a2_6
noscript.ABE.allowRulesetRedir
Разрешить ли http перенаправления при загрузке набора собственных правил сайта (rules.abe).
("whether to allow HTTP redirections when fetching a site's ABE ruleset
(related to "Allow sites to push their own rulesets")" barbaz)
noscript.ABE.disabledRulesetNames
Отключённые наборы правил ABE.
Настройки -> Дополнительно -> ABE -> SYSTEM (например) -> Использовать/Отключить
(Options -> Advanced -> ABE -> %RULESETNAME% -> Enable/Disable)
noscript.ABE.legacyPrompt
Используется для совместимости со старыми версиями Fx/SM, в которых не было notification bar.
https://forums.informaction.com/viewtopic…#p61747 Giorgio Maone
noscript.ABE.localExtras (2.0.1)
Следует рассматривать как дополнение к правилам LOCAL, а также к автоопределению WAN IP.
Вместо добавления адресов к этому параметру можно дописывать их к "Accept from LOCAL"
в наборе правил SYSTEM в Настройках.
maone.net/viewtopic.php?p=29485#p29485
Можно добавить свой IP и добиться того же эффекта, что и при поставленной галочке
WAN IP, но IP в Настройках отображаться не будет.
maone.net/viewtopic.php?p=58343#p58343
https://forums.informaction.com/viewtopic…#p58343
noscript.ABE.notify.namedLoopback (1.9.5.5)
Набор правил SYSTEM перехватывает запросы к 127.0.0.1 для защиты от CSRF и XSS;
и если в hosts есть строки: < 127.0.0.1 bad.site.com >, то будут появляться уведомления ABE.
false — не показывать такие уведомления (всё-равно будут регистрироваться в консоли ошибок).
А для блокировки доменов в hosts лучше использовать 255.255.255.0
https://noscript.net/faq#qa8_1
noscript.ABE.rulesets.*
Наборы пользовательских правил. Создать строковый параметр с любым именем.
https://forums.informaction.com/viewtopic.php?p=71579#p71579 barbaz
Примеры правил:
https://noscript.net/faq#qa8...
Some Sites you Might Want to Protect
Ad blocking, Annoyances, Social media access2godzilla
Advertising/tracking sites jiang3
Ad,
advertising/tracking cookies 江3如此多娇 (Цзян3 красотою лѣпа)
.exe .bat .dll … (If you don't even want able to download)
security.mixed_content.block_active_content barbaz
noscript.ABE.siteEnabled
Настройки -> Дополнительно -> ABE «Разрешать сайтам устанавливать свои наборы правил»
(Options -> Advanced -> ABE "Allow sites to push their own rulesets")
Правила сайта (rules.abe) применяются исключительно на самом сайте. И даже злоумышленно
изменённый файл rules.abe не может быть применён к другим сайтам.
https://forums.informaction.com/viewtopic.php?p=5969#p5969 Giorgio Maone
https://noscript.net/abe/web-authors.html
noscript.ABE.skipBrowserRequests (1.9.7.2)
Пропускать (не блокировать) внутренние запросы браузера.
https://forums.informaction.com/viewtopic…#p66845 Giorgio Maone
noscript.ABE.wanIpAsLocal (2.0rc5)
Настройки -> Дополнительно -> ABE "WAN IP ..."
(Options -> Advanced -> ABE "WAN IP ...")
Защита маршрутизаторов и Интранет веб-ресурсов от CSRF, DNS rebinding.
addons.mozilla.org/…noscript/privacy/
hackademix.net/abe-patrols-the-routes-to-your-routers/
noscript.ABE.wanIpCheckURL
Адрес, с которого будет запрашиваться WAN IP. Если эта функция нужна, можно подставить адрес
своего сервера вместо https://secure.informaction.com/ipecho/.
https://hackademix.net/2010/07/28/…#comment-23239
noscript.ajaxFallback.enabled (2.0.9.9rc1)
«Этот параметр просто помогает навигации на некоторых сайтах, которые строго требуют JavaScript.
Даже без включения JavaScript, пустые страницы заменяются их содержимым, предназначенным для
поисковой индексации. Это безобидно (если вы заботитесь о безопасности).»
https://forums.informaction.com/viewtopic…#p57384 Giorgio Maone
«Некоторые сайты на основе AJAX используют специальный синтаксис строки запроса, чтобы показать
поисковым роботам, что есть способ получить снимок HTML: как будет выглядеть страница после
выполнения AJAX. NoScript может действовать как сканер и использовать это, чтобы собрать всю
страницу без включения JavaScript.»
https://forums.informaction.com/viewtopic…#p57386 Thrawn
noscript.allowBookmarkletImports
Выполнение внешних скриптов, загрузка которых инициируется букмарклетом или snippet’ом
JavaScript-кода в адресной строке, даже если их источник не внесён в белый список.
https://forums.informaction.com/viewtopic…#p22909 Giorgio Maone
noscript.allowBookmarks (1.1.4)
«На лету» разрешать выполнение JS документам верхнего уровня сайтов, открываемых через закладки.
Чтобы example.com попал в белый список, недостаточно добавить его в закладки.
Надо открыть его, используя именно «Закладки», а не адресную строку и не ссылку на странице.
Настройки -> Основные -> «Разрешать сайты, открываемые через закладки»
(Options -> General -> "Allow sites opened through bookmarks")
https://noscript.net/features#toplevel
noscript.allowCachingObjects (2.1.1.2rc5)
Не блокировать объекты, используемые для упреждающей выборки JavaScript и CSS контента,
при условии нахождении родителя в белом списке.
https://forums.informaction.com/viewtopic.php?f=7&t=6677
noscript.allowClipboard (1.1.0)
Настройки -> Дополнительно -> Доверенные
«Расширенные копирование и вставка из внешнего буфера обмена»
(Options -> Advanced -> Trusted "Allow rich text copy and paste from external clipboard")
Нужно, в основном, для работы кнопок «Копировать», «Вырезать», «Вставить» WYSYWYG редакторов.
https://forums.informaction.com/viewtopic…#p11901
https://noscript.net/features#extraopts -> Trusted
https://noscript.net/faq#qa3_8
В версии 2.6.8.20 удалено из UI браузеров, не поддерживающих CAPS (Gecko 28 и выше).
noscript.allowHttpsOnly (1.8.0.7)
Настройки -> Дополнительно -> HTTPS -> Разрешения
«Запрещать активное веб-содержимое, за исключением защищённых (HTTPS) соединений:»
0 — «Никогда»
1 — «При использовании прокси»
2 — «Всегда»
(Options -> Advanced -> HTTPS -> Permissions "Forbid active web-content ‹…› connection:")
0 — "Newer"
1 — "When using a proxy"
2 — "Always"
https://noscript.net/faq#qa6_2
noscript.allowLocalLinks (1.1.4.5.070127)
Настройки -> Дополнительно -> Доверенные «Разрешить локальные ссылки»
(Options -> Advanced -> Trusted "Allow local links")
Позволяет подключить локальные файлы, например изображения, как того требуют некоторые
игровые сайты (в основном ММО игры) для повышения производительности.
Необходимо также разрешить file://
https://noscript.net/features#toplevel -> Trusted
https://forums.informaction.com/viewtopic…#p11901 Giorgio Maone
— Можно ли внести в белый список только некоторые локальные файлы?
— Нет.
flashgot.net/viewtopic.php?p=12182#p12182 Giorgio Maone
noscript.allowPageLevel (1.7.5.4)
«Временно разрешить все скрипты на этой странице»
("Temporarily allow all this page")
Why must I "Temporarily allow all this page" REPEATEDLY? Tom T.
0 — не указано
1 — полный адрес
2 — полный домен
3 — домен второго уровня
noscript.allowURLBarImports (2.1.0.4rc9)
выполнение сценариев не из белого списка, импортированных во время выполнения
javascript: и data: URL, введенных или вставленных в адресную строку.
https://forums.informaction.com/viewtopic.php?f=10&t=6487
noscript.allowURLBarJS (1.4.9.7)
Выполнение скриптов в адресной строке, даже если текущая страница не в белом списке
(то, что NoScript должен эмулировать, иначе это было бы невозможно).
https://forums.informaction.com/viewtopic…#p22909 Giorgio Maone
noscript.allowWhitelistUpdates (2.6.9.7)
Обновление белого списка при выходе новой версии NoScript,
если он уже был изменён (пользователем, например).
https://forums.informaction.com/viewtopic.php?p=73373
https://forums.informaction.com/viewtopic.php?f=7&t=20375
noscript.allowedMimeRegExp (1.3.2)
Можно настроить некоторые исключения для запрещённого встроенного содержимого
(например плагинов и фреймов), автоматически разрешая на всех сайтах определённые типы.
Можно ограничить разрешение путем сопоставления типа содержимого с адресом сайта.
Например, "application/x-shockwave-flash@https?://[^/]+\.(?:youtube|ytimg)\.com".
Типы содержимого разделять пробелом.
https://noscript.net/features#pluginexceptions
https://forums.informaction.com/viewtopic…#p72566 Giorgio Maone
https://forum.mozilla-russia.org/viewtopic…#p683718 turbot (для file://)
noscript.alwaysBlockUntrustedContent (1.3.2)
Настройки -> Встроенные объекты «Блокировать любой объект с сайтов, отмеченных как недоверенные»
(Options -> Embeddings "Block every object coming from a site marked as untrusted")
Запрещается plugin-контент с сайтов, явно отмеченных как недоверенные (см. noscript.untrusted).
noscript.alwaysShowObjectSources (1.9.9.60)
Отображать источники объектов в меню разрешений
(помимо строки «Заблокированные объекты» ("Blocked Objects")).
noscript.autoAllow (1.1.4.5.070127)
«На лету» временно разрешать скрипты документов верхнего уровня, за исключением отмеченных
как недоверенные. Документы верхнего уровня выделены жирным шрифтом в меню разрешений.
Настройки -> Основные «Временно разрешать документы верхнего уровня по умолчанию»
1 — «Полные адреса (http://www.noscript.net)»
2 — «Полные домены (www.noscript.net)»
3 — «Базовые домены 2-го уровня (noscript.net)»
(Options -> General "Temporarily allow top-level sites by default")
1 — "Full Adresses (http://www.noscript.net)"
2 — "Full Domains (www.noscript.net)"
3 — "Base 2nd level Domains (noscript.net)"
0 — не разрешать
https://noscript.net/features#toplevel
noscript.autoReload
Включает/отключает автоперезагрузку при любом действии.
Настройки -> Основные «Автоматически обновлять зависимые страницы при измененнии разрешений»
(Options -> General "Automaticaly reload affected pages when permissions change")
https://noscript.net/faq#qa5_2
noscript.autoReload.allTabs (1.1.4.8.070606, 2.2.3)
false — при изменении разрешений перезагружается только активная вкладка.
https://noscript.net/faq#qa5_2
https://noscript.net/features#hiddenprefs
noscript.autoReload.allTabsOnGlobal
false — перезагружается только активная вкладка при глобальном разрешениии скриптов в Настройках.
(Белый список «Глобальное разрешение скриптов (опасно)»
(Whitelist "Scripts Globally Allowed (dangerous)")).
https://noscript.net/faq#qa5_2
noscript.autoReload.allTabsOnPageAction (1.7.5.3)
false — перезагружается только активная вкладка при использовании команд массовой смены
разрешений (например: «Разрешить все скрипты на этой странице» ("Allow all this page")).
https://noscript.net/faq#qa5_2
noscript.autoReload.embedders (1.9.9.98rc1)
Автоперезагрузка встроенного содержимого страниц при изменении разрешений.
0 — не перезагружать.
1 — наследовать значения "noscript.autoReload".
2 — обязательно перезагружать.
noscript.autoReload.global (1.1.4.8.070606)
Включает/отключает автоперезагрузку при глобальном разрешении скриптов в
Настройки -> Белый список «Глобальное разрешение скриптов (опасно)»
(Options -> Whitelist "Scripts Globally Allowed (dangerous)")
https://noscript.net/faq#qa5_2
https://noscript.net/features#hiddenprefs
noscript.autoReload.useHistory
«Использование внутрибраузерного эквивалента history.go(0), чтобы сделать чтобы сделать
как можно больше из кэша».
http://forums.mozillazine.org/viewtopic…#p5708075 Giorgio Maone
noscript.badInstall
Значение изменяется само при фатальной проблеме XPCOM компонента
Components.classes["@maone.net/noscript-service;1"]
("It is an internal-use-only pref which gets flipped if there is a fatal problem with
the noscript XPCOM component Components ‹…› service;1"]" barbaz)
При этом появляется уведомление: "NoScript is not properly installed
and cannot operate correctly. Please install it again and check the Install…"
noscript.bgThumbs.allowed (2.6.9.5)
Отдельный фоновый процесс создания миниатюр.
«Создание миниатюр происходит в отдельном процессе при включённых скриптах.
Этот процесс обходит все расширения, поэтому NoScript не может применить все свои меры
безопасности. Если его оставить, то чувство безопасности будет ложным.»
https://forums.informaction.com/viewtopic.php?p=74313#p7431 barbaz
noscript.bgThumbs.disableJS (2.6.9.5)
Включение JavaScript в фоновом процессе создания миниатюр.
noscript.blockCssScanners (1.5.9 — 1.6)
Устаревшая настройка. Экспериментальная защита от getComputedStyle() history sniffing.
«Блокировать CSS-сканеры» ("Block CSS-based scanners")
noscript.blockNSWB (1.1.6.11 — 2.2.4rc1)
Устаревшая настройка. Блокировка Web bugs, встроенных в <noscript>.
Дополнительно -> Недоверенные -> Запретить отображение «Web Bugs»
(Options -> Untrusted -> Forbid "Web Bugs")
http://forums.mozillazine.org/viewtopic…#p2984837
https://forums.informaction.com/viewtopic.php?p=33321#p33321
noscript.canonicalFQDN (1.2.9.6)
Управление канонизацией доменов (Fully Qualified Domain Name), заканчивающихся точкой.
Работает только если NoScript может выполнять запросы DNS (т.е. не используется прокси).
https://forums.informaction.com/viewtopic.php?p=4463#p4463
noscript.cascadePermissions (2.6.8.26)
Если true: пользователь сможет разрешить/запретить ВСЕ скрипты на странице (в том числе и
в субдокументах), переключив разрешение документа верхнего уровня.
Чтобы избежать путаницы, в меню разрешений будет показано разрешение только для
документа верхнего уровня (в настоящее время выделен жирным шрифтом).
Если false: сохраняется текущее поведение, позволяющее запрещать/разрешать скрипты
в зависимости от их происхождения.
В любом случае, скрипты, внесённые в noscript.untrusted, будут заблокированы.
«Эти функции добавляются по желанию проекта TOR, полезны для пользователей TOR Browser и,
возможно, для некоторых постоянных пользователей NoScript.»
В 2.6.8.31 внесено в Настройки -> Дополнительно -> Доверенные
«Каскадное разрешение скриптов третьей стороны»
(Options -> Advanced -> Trusted "Cascade top document’s permissions ‹…›").
https://forums.informaction.com/viewtopic…#p69787 Giorgio Maone
noscript.clearClick (1.8.2, exceptions — 1.8.9)
1 — на недоверенных.
2 — на доверенных.
3 — везде.
0 — выключен.
https://noscript.net/faq#qa7_1
noscript.clearClick.plugins
ClearClick для встроенных плагинов. Plugin content и фреймы насильственно делаются
непрозрачными. Если размер превышает видимую область, то появляется полоса прокрутки.
https://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking/
noscript.clearClick.rapidFireCheck (2.1.2.4rc2)
Против Double-clickjacking (пользователь через запрос злоумышленника перенаправляется
на авторизацию у OAuth-провайдеров. Rapid fire check.pdf).
https://hackademix.net/2011/07/11/fancy-clickjacking-tougher-noscript/
noscript.clearClick.subexceptions (1.9.1.8)
Источники встроенного контента, которые не должны быть защищены ClearClick.
https://forums.informaction.com/viewtopic…=35429
noscript.clearClick.threshold (2.3.9rc1)
Пороговое процентное значение сравнения снимков того, что видит пользователь и
элементов содержимого страницы по отдельности (без наложений слоёв).
https://noscript.net/faq/#clearclick
noscript.collapseObject (1.1.9.7)
Настройки -> Встроенные объекты -> «Сворачивать заблокированные объекты»
(Options -> Embeddings -> "Collapse blocked objects")
noscript.confirmSiteInfo
false — При нажатии СКМ на любой строке меню разрешений не показывать окошко с чекбоксом
«Вы собираетесь узнать информацию о сайте ‹…› Продолжить?»
("Yu’re about to ask information ‹…› Do you want to continue?").
https://forums.informaction.com/viewtopic…#p48084 mjh563
noscript.confirmUnblock (1.1.3.1)
Настройки -> Встроенные объекты -> «Подтверждать временную разблокировку объекта»
(Options -> Embeddings -> "Ask for confirmation before temporarily unblocking an object")
noscript.confirmUnsafeReload (1.1.4.8RC1)
Показывать окно подтверждения при небезопасной (XSS) перезагрузке.
http://forums.mozillazine.org/viewtopic…#p5985695
https://noscript.net/faq#qa4_3
noscript.consoleDump;1 (1.1.3.6)
noscript.consoleLog;true
Отображать в консоли ошибок срабатывание и блокировку скриптов (не только ABE).
«Предупреждение: это может быть помехой, влияющей на
производительность просмотра.» Giorgio Maone
https://forums.informaction.com/viewtopic.php?f=7&t=5261
https://forums.informaction.com/viewtopic.php?p=71950#p71950
noscript.contentBlocker (1.1.4.8.070425)
Настройки -> Встроенные объекты «Применять эти ограничения и для доверенных сайтов»
(Options -> Embeddings -> "Apply these restrictions to whitelisted sites too")
https://noscript.net/features#flashblock
noscript.cp.last
true гарантирует, что NoScript сработает после ABP.
false — случайный порядок.
https://forums.informaction.com/viewtopic…#p8950
«Это сделано по многочисленным просьбам, чтобы заблокированное ABP не отображалось
placeholder’ом NoScript.
Я согласен, что это может быть весьма неэффективно, так как фильтры ABP медленнее, чем
блокировки NoScript, но как только ABP блокирует один объект, он не передаётся в NoScript
в любом случае (раньше было наоборот).
Однако вы можете вернуться к старому поведению, переключив noscript.cp.last в false
и перезагрузить браузер.»
http://forums.mozillazine.org/viewtopic…#p5130455 Giorgio Maone
По умолчанию, NS всегда приходит последний: это было введено несколько лет назад (2011),
чтобы позволить пользователям ABP увидеть среди «блокируемых объектов» ABP те, которые
позже будут заблокированы NoScript’ом . Если false, порядок блокировки будет зависеть от
порядка регистрации компонентов, который не всегда очевиден.
https://forums.informaction.com/viewtopic…#p36488 Giorgio Maone
noscript.ctxMenu
Настройки -> Внешний вид «Пункт в контекстном меню» (Options -> Appearance "Contextual menu")
noscript.default
Белый список по умолчанию, при экспорте настроек не отражается в сохраняемом файле
(см. также noscript.allowWhitelistUpdates).
noscript.doNotTrack.enabled (2.0.9rc4)
Аналог настройки браузера «Я не хочу чтобы меня отслеживали» был сделан для Fx 3.*, где этой
настройки не было. "true" имеет преимущество перед настройкой Fx/SM «Не сообщать веб-сайтам
о моей настройке отслеживания». Если в Fx/SM отмечено «Я не хочу чтобы меня отслеживали»,
то "false" в NS будет игнорироваться.
https://forums.informaction.com/viewtopic…#p38959 Tom T.
https://hackademix.net/2010/12/28/x-do-not-track-support-in-noscript/
noscript.doNotTrack.exceptions (2.0.9rc4)
Список URL’ов, которым не отправляется сообщение "Do Not Track".
https://hackademix.net/2010/12/28/x-do-not-track-support-in-noscript/
http://bbs.kafan.cn/thread-1621404-1-1.html 462588842
https://forums.informaction.com/viewtopic…#p38975 Giorgio Maone
noscript.doNotTrack.forced (2.0.9rc4)
Список URL’ов, которым отправляется сообщение "Do Not Track", даже если они есть в исключениях.
https://hackademix.net/2010/12/28/x-do-not-track-support-in-noscript/
«Проблема с этим подходом заключается в том, что если пользователь активирует настройки
браузера «Я не хочу чтобы меня отслеживали», NS настройки exceptions и forced сайтов
не работают (потому что Firefox всегда будет добавлять заголовок DNT 1).»
https://forums.informaction.com/viewtopic.php?p=38994#p38994 Giorgio Maone
С v 2.0.9.7rc4 заголовок отправляется и локальным адресам.
https://forums.informaction.com/viewtopic.php?f=7&t=5767
noscript.docShellJSBlocking (1.6.9.6, 1.7.2)
0 — не блокировать docShellJS.
1 — блокировать на недоверенных.
2 — блокировать везде, кроме белого списка (позволяет наследовать cross-frame блокировку JS).
Удалено в 2.9.5.3rc1, обсуждение.
noscript.dropXssProtection (2.2.3rc3)
Запрет перетаскивания javascript: и data: URL.
https://forums.informaction.com/viewtopic.php?p=25658#p25658 al_9x
noscript.ef.enabled (1.9.9.70)
Настройки -> Дополнительно -> Внешние фильтры «Использовать внешние фильтры»
("Options -> Advanced -> External filters "Enable external filters")
В v 2.6.8.13 из Настроек убрали этот пункт, поскольку Blitzableiter заглох.
https://forums.informaction.com/viewtopic.php?f=10&t=8582
noscript.emulateFrameBreak (1.8.2)
Отключение JavaScript с использованием настроек вашего браузера фактически нарушает защиту
анти Clickjacking на основе JavaScript, возможно развёрнутую на целевом сайте.
true — эмуляция "frame busting" для фреймов, где JS отключён.
https://noscript.net/faq#qa7_5
noscript.eraseFloatingElements (2.5.3rc3)
Удерживая нажатую ЛКМ на абсолютно позиционированном элементе страницы и нажав клавишу DEL
на клавиатуре, можно его удалить, если скрипты отключены. Начиная с версии 5.0.2, работает
и на страницах из белого списка.
https://noscript.net/#news
noscript.excaps (1.1.4.5.070127)
Для разрешения CAPS конфликтов, например с расширениями Google, локальными ссылками.
https://forums.informaction.com/viewtopic.php?p=70688
noscript.exportDir (1.9.2.91, 2.2.3)
Путь к текстовому файлу с экспортированными настройками.
noscript.fakeScriptLoadEvents.* (2.6.8.24)
Отправляются синтетические события load и подавляются события error для
заблокированных скриптов, чтобы обойти средства обеспечения выполнения скриптов.
Эта функция инициирована по умолчанию только для загрузчика модулей Require.js,
но может быть полностью полностью настроена:
.enabled — on/off
.onlyRequireJS — true (по умолчанию) применяется только к скриптам,
инициированным Require.js
.exceptions — AddressMatcher шаблоны URL-адресов исходных скриптов,
при блокировке которых не должны вызываться поддельные события load
.docExceptions — AddressMatcher шаблоны URL-адресов документов, где
не должны вызываться поддельные события load.
noscript.filterXExceptions (1.1.4.6.070321)
Настройки -> Дополнительно -> XSS «Исключения анти-XSS защиты»
(Options -> Advanced -> XSS "Anti-XSS Protection Exceptions")
Исключения из XSS фильтров для некоторых «доверенных» адресов,
требующих сложных кросс-сайтовых запросов.
https://noscript.net/faq#qa4_4
https://noscript.net/features#xssopts
noscript.filterXGet
Настройки -> Дополнительно -> XSS «Фильтровать подозрительные межсайтовые запросы»
(Options -> Advanced -> XSS "Sanitize cross-site suspicious requests")
Подозрительными считаются запросы от недоверенных источников, возможно содержащие HTML или JS
инъекции, к доверенным разрешённым или временно разрешённым.
https://noscript.net/features#xssopts
noscript.filterXGetRx (1.1.4.6.070318)
Анти-XSS фильтр, применяющийся к запросам от неизвестных (ограниченных) сайтов.
Работает, частично заменяя «небезопасные» части URL «безопасными» эквивалентами
с помощью регулярного выражения.
https://forums.informaction.com/viewtopic…#p79513 barbaz
noscript.filterXPost (1.1.4.6.070318)
Настройки -> Дополнительно -> XSS «Заменять межсайтовые POST-запросы на GET-запросы без данных»
(Options -> Advanced -> XSS "Turn cross-site POST ‹…› requests")
https://noscript.net/features#xssopts
noscript.firstRunRedirection (1.9.2.7)
Настройки -> Уведомления «Показывать примечания к релизу при обновлениях»
(Options -> Notifications "Display the release notes from updates")
https://noscript.net/faq#qa2_5
noscript.fixLinks (1.1.3.6)
Настройки -> Дополнительно -> Недоверенные «Пытаться исправить JavaScript-ссылки»
(Options -> Advanced -> Untrusted "Attempt to fix JavaScript links")
На недоверенных сайтах NoScript будет пытаться превратить javascript: ссылки в обычные ссылки.
https://noscript.net/features#extraopts -> Untrusted
noscript.fixURI.exclude (1.1.6.13)
Список протоколов, разделённых пробелами, которые не должны быть экранированы NoScript,
например:
^custombutton://
https://forum.mozilla-russia.org/viewtopic.php?pid=235967#p235967 Infocatcher
e2dk
http://forums.mozillazine.org/viewtopic…#p3375377 Giorgio Maone
noscript.forbidActiveContentParentTrustCheck
Защита от Flash XSS.
Флэш-апплеты, происходящие из доверенных сайтов (например фильмы youtube.com) заблокированы,
если встроены на недоверенных сайтах. Можно активировать эти объекты без внесения страницы
в белый список, просто нажав на placeholder NoScript.
https://noscript.net/faq#qa4_7
https://noscript.net/features#flash_xssng
noscript.forbidBGRefresh (1.9.9.81)
Блокировка обновления вкладок не в фокусе (tabnapping protection).
0 — не блокировать.
1 — блокировать обновление вкладок с недоверенными.
2 — блокировать обновление вкладок с доверенными.
3 — блокировать обновление и тех и других.
noscript.forbidExtProtSubdocs
true — запретить всем внешним обработчикам протоколов обработку всех типов контента,
кроме document (nsIContentPolicy type 6 ).
("if set to true, block all external protocol handlers from handling anything other
than a document (nsIContentPolicy type 6)" barbaz)
noscript.forbidIFrames (1.1.7.1)
Настройки -> Встроенные объекты «Запретить <IFRAME>»
(Options -> Embeddings "Forbid <IFRAME>")
IFRAMEs, встроенные в недоверенные страницы, всегда блокируются, за исключением
загрузки в них содержимого родительского сайта.
IFRAMEs, встроенные в доверенные страницы, блокируются, если пытаются загрузить
содержимое из недоверенных сайтов.
Когда ограничение применяется и к доверенным сайтам, IFRAME может быть загружен,
если это не загрузка содержимого из того же сайта что и его родитель.
https://noscript.net/faq#iframe
noscript.forbidIFramesContext (1.1.7.4)
Управление блокировкой IFRAME в зависимости от родительской страницы.
0 — блокировать все.
1 — блокировать, если родитель на другом сайте.
2 — блокировать, если родитель в другом домене.
3 — блокировать, если родитель в другом домене второго уровня.
https://noscript.net/faq#qa4_8
noscript.forbidIFramesParentTrustCheck
IFRAMEs, происходящие из доверенных сайтов заблокированы, если встроены
на недоверенных сайтах.
noscript.forbidImpliesUntrust (1.1.4.5.070207)
true — при использовании «Запретить somesite.com», somesite.com автоматически помечаются
как недоверенные, а не просто исчезают из белого списка.
http://forums.mozillazine.org/viewtopic.php?p=5678135#p5678135 Giorgio Maone
noscript.forbidMedia (1.9.9.10)
Блокировка HTML5, независимая(!) от Настройки -> Встроенные объекты «Запретить другие плагины»
(Options -> Embeddings "Forbid other plugins").
noscript.forbidMetaRefresh (1.1.4.7.070419, 1.1.4.8.070422)
Настройки -> Дополнительно -> Недоверенные
«Запретить META перенаправления внутри элементов <NOSCRIPT>»
(Options -> Advanced -> Untrusted "Forbid META redirections inside <NOSCRIPT> elements")
ЛКМ — разрешить однократно , Shift+ЛКМ — разрешить и запомнить на сессию, СКМ — скрыть иконку.
META перенаправления часто используются для отправки пользователя на страницу с сообщением
«Пожалуйста включите JavaScript».
https://noscript.net/features#extraopts -> Untrusted
noscript.forbidMetaRefresh.remember (1.1.4.8RC1)
Запоминание разрешения/запрещения META перенаправлений на текущую сессию.
http://forums.mozillazine.org/viewtopic.php?p=2848886#p2848886
noscript.forbidMixedFrames (1.8.2.2)
Если IFRAMEs запрещены, то вложенные в них FRAMEs тоже запрещены.
noscript.forbidWebGL (2.1.0.6rc4)
Настройки -> Встроенные объекты -> Запретить WebGL (Options -> Embedding -> Forbid WebGL)
Можно разрешать для отдельных страниц:
меню разрешений -> Заблокированные объекты -> Временно разрешить WebGL@http…
noscript.forbidXBL (1.1.8.5)
0 — разрешить все XBL.
1 — разрешить доверенные и data XBL на любом сайте.
2 — разрешить доверенные и data XBL на доверенных сайтах.
3 — разрешить только доверенные XBL на доверенных сайтах.
4 — разрешить только доверенные XBL с того же сайта или chrome.
5 — разрешить только chrome XBL.
noscript.forbidXHR (1.4.9.4)
0 — разрешить любые XHR.
1 — разрешить межсайтовые XHR только через доверенные сайты.
2 — разрешить XHR только с того же сайта.
3 — запретить все XHR.
noscript.frameOptions.enabled (1.9.9.03)
Заголовки X-FRAME-OPTIONS не должны быть проигнорированы.
https://hackademix.net/2009/12/02/…x-frame-options/
Если появляется окно «This content cannot be displayed in a frame», то переключить в false.
https://forums.informaction.com/viewtopic…#p29006
noscript.frameOptions.parentWhitelist (1.9.9.03)
Исключения некоторых родительских окон из X-Frame-Options проверки их встроенных фреймов.
https://hackademix.net/2009/12/02/google-talk-badges-vs-x-frame-options/
noscript.global
Настройки -> Белый список «Глобальное разрешение скриптов (опасно)»
(Options -> Whitelist "Scripts Globally Allowed (dangerous)")
При переключении через config, а не через Настройки, требуется перезапуск.
Отмеченные как «Недоверенные» не разрешаются.
«Другими словами, вы используете режим "Черный список". Это как YesScript, но с гораздо более
широкими возможностями защиты (анти-XSS, анти-ClickJacking, ABE и так далее).»
https://forums.informaction.com/viewtopic…#p13058 Giorgio Maone
noscript.globalHttpsWhitelist
Настройки -> Дополнительно -> HTTPS -> Разрешения
«Разрешить все HTTPS скрипты в HTTPS документах»
(Options -> Advanced -> HTTPS -> Permissions
"Allow HTTPS scripts globally on HTTPS documents")
noscript.globalwarning (1.1.4.7.070413)
Появление предупреждения при выборе пункта меню разрешений
«Разрешить скрипты глобально (опасно)» ("Allow Scripts Globally (dangerous)").
noscript.hideOnUnloadRegExp
Код, контролируемый данным параметром, срабатывает при наступлении события pagehide.
Перечисленные типы содержимого скрываются с помощью CSS и заменяются на dummy объект
перед уходом со страницы или закрытием вкладки. ("It is hiding an object with CSS and stick
in a dummy object as well. This code is called on the "pagehide" event.
The pref is a regex specifying which embedding MIME types to hide and replace by dummy
before the page unloads." barbaz)
noscript.hoverUI (2.0.3rc1)
Настройки -> Основные -> «Открывать меню разрешений при наведении мыши на значок NoScript»
(Options -> General -> Open permissions menu when mouse howers over NoScript’s icon)
noscript.hoverUI.excludeToggling (2.0.9rc3)
Настройки -> Основные -> «Нажатием на значок переключать разрешение
документа верхнего уровня активной вкладки»
(Options -> General -> "Left clicking on NoScript toolbar button ‹…› site")
https://forums.informaction.com/viewtopic.php?p=25322#p25322
noscript.httpsDefWhitelist (2.9.0.5, 2.9.0.6)
Автоматическое использование https для сайтов из noscript.default,
если скрипты этих сайтов разрешены в данный момент.
noscript.httpsForced (1.8.0.6)
Настройки -> Дополнительно -> HTTPS -> Поведение
«Заставлять указанные сайты использовать безопасное (HTTPS) соединение:»
(Options -> Advanced -> HTTPS -> Behavior
"Force the following sites to use secure (HTTPS) connections:")
https://noscript.net/faq#qa6_3
noscript.httpsForcedBuiltIn (2.6.9.6rc3)
Встроенный список применения https.
noscript.httpsForcedExceptions
Настройки -> Дополнительно -> HTTPS -> Поведение «Не принуждать ‹…› для сайтов:»
(Options -> Advanced -> HTTPS -> Behavior "Never force ‹…› sites:")
https://noscript.net/faq#qa6_3
noscript.https.showInConsole
Отображать в консоли загрузку страниц с заголовком "Strict-Transport-Security"
(например: [NoScript HTTPS] FORCED SECURE on https://noscript.net )
и срабатывания noscript.httpsForced, при попытке перейти на эти адреса по http://
(например: [NoScript HTTPS] Forced URI https://ip-check.info/?foundHTTPS=true,
если ip-check.info внесён в список noscript.httpsForced).
noscript.ignorePorts (1.9.9.51)
true — домены, разрешаемые вручную, всегда подразумевают адреса с портами.
Этот параметр не работает.
noscript.inclusionTypeChecking (1.9.6.5)
Проверка правильности Content-Type, указанного для 3rd party скриптов и CSS файлов.
https://forums.informaction.com/viewtopic…#p19315 Giorgio Maone
noscript.inclusionTypeChecking.checkDynamic
Включает / отключает проверку URL-адресов, которые, по-видимому, являются
server-side скриптами (например "application/unknown" или содержимым текстового типа).
https://forums.informaction.com/viewtopic…#p19309
noscript.injectionCheck (1.1.4.9)
Запросы, проверяемые injectionChecker’ом (если noscript.injectionCheckHTML;true).
0 - никогда не проверять.
1 - проверять межсайтовые запросы от временно разрешённых сайтов.
2 - проверять все межсайтовые запросы.
3 - проверять все запросы.
http://forums.mozillazine.org/viewtopic…#p3049878 Giorgio Maone
https://noscript.net/features#injections
noscript.injectionCheckHTML
Обнаружение XSS инъекций в GET запросы от доверенных сайтов к окнам верхнего уровня.
https://noscript.net/faq#qa4_1
https://noscript.net/features#injections
noscript.jsHack (1.1.9.8)
JS, выполняющийся до загрузки страницы, чтобы добавить недостающие функции, например:
window.name https://stackoverflow.com/questions/…25168080
window.top http://forums.mozillazine.org/viewtopic…#p4366215
http://forums.mozillazine.org/viewtopic…#p4393645
window.urchinTracker http://forums.mozillazine.org/viewtopic…#p4264335
noscript.jsredirectFollow (1.1.4.9)
true — если в странице верхнего уровня одна единственная JavaScript ссылка,
то произойдёт автопереход по ссылке, и мы предполагаем что это JavaScript перенаправление.
default — false, поскольку это может быть использовано для принудительного перенаправления
пользователей NoScript, запрещающих JavaScript на определённой странице, на другую страницу.
https://noscript.net/features#hiddenprefs
noscript.jsredirectForceShow (1.1.6.26)
Всегда отображать JS адреса переходов внизу страницы, независимо от видимого контента.
http://forums.mozillazine.org/viewtopic…#p3047914
noscript.jsredirectIgnore (1.1.4.9)
false — любые невидимые ссылки или кнопки вынуждены будут отображаться,
если не присутствует, по крайней мере, один навигационный элемент.
true — отключает поиск и отображение JavaScript ссылок на страницах,
не входящих в белый список и не содержащих никаких обычных ссылок.
(тест — evil.hackademix.net/test/empty/form.html)
https://noscript.net/faq#qa3_17
https://noscript.net/features#hiddenprefs
«Всякий раз, когда загружается недоверенная страница, NoScript проверяет
используемые ссылки и, если нет никаких обычных ссылок, он пытается "делать вывод",
что JavaScript ссылки используются для перенаправления, и отображает их как обычные ссылки.
Это удобно использовать на страницах, содержащих только перенаправления JavaScript
или Flash intro, дабы избежать использования JavaScript только для того чтобы зайти на сайт.»
http://forums.mozillazine.org/viewtopic…#p3291387 Giorgio Maone
noscript.keys.tempAllowPage (2.1.6)
Настройка сочетания клавиш «Временно разрешить все скрипты на этой странице»
("Temporarily allow all this page").
https://forums.informaction.com/viewtopic.php?f=7&t=7666
noscript.keys.revokeTemp (2.1.6)
Настройка сочетания клавиш «Отменить временные разрешения»
("Revoke Temporary Permissions").
https://forums.informaction.com/viewtopic.php?f=7&t=7666
noscript.liveConnectInterception
Java пакеты, предоставляемые LiveConnect недоступны там, где заблокирована Java.
https://forums.informaction.com/viewtopic.php?f=7&t=5397
noscript.lockPrivilegedUI (1.1.8.3)
Заблокировать настройки от переключения DOM инспектором и консолью ошибок
(добавляется в *.cfg).
https://hackademix.net/2007/12/05/plugin-security-plug-insecurity/#comment-2209
noscript.logDNS
true — логирование запросов в файле профиля noscript_dns.log.
Может отрицательно влиять на производительность.
https://forums.informaction.com/viewtopic.php?p=15300#p15300 Giorgio Maone
noscript.mandatory
«Обязательная» часть белого списка (chrome, about и т.д.). Редактируется в about:config, но не
в Настройках. После изменения необходима перезагрузка браузера.
https://trac.torproject.org/projects/tor/ticket/3976#comment:11 ma1
https://noscript.net/faq#qa1_5
HowTo stop resource leak with NoScript
noscript.menuAccelerators (2.1.6)
Вкл/выкл отображение сочетания клавиш в пунктах меню разрешений
«(Временно) разрешить все скрипты на этой странице» ("(Temporary) allow all this page").
https://forums.informaction.com/viewtopic.php?f=7&t=7666 Tom T.
noscript.middlemouse_temp_allow_main_site (2.6.9.27)
СКМ на значке NS
true — «Временно разрешить все скрипты на этой странице» ("Temporarily allow all this page").
false — ничего не делать.
https://forums.informaction.com/viewtopic.php?f=7&t=20319
noscript.noping (1.1.3.6)
Настройки -> Дополнительно -> Недоверенные «Запретить использование <A PING…>»
(Options -> Advanced -> Untrusted "Forbid <a ping…>")
https://forums.informaction.com/viewtopic.php?p=71857#p71857 barbaz
http://kb.mozillazine.org/Browser.send_pings#Background
noscript.nosniff (2.0.4)
Контролировать (true) или нет (false) выполнение "X-Content-Type-Options: nosniff".
https://forums.informaction.com/viewtopic.php?p=22992#p22992
С v 2.0.9.9rc4 отображение в виде text/plain документов с отсутствующим заголовком
"Content-Type", но отправленным "X-Content-Type-Options: nosniff".
noscript.notify
Настройки -> Уведомления «Отображать сообщения о заблокированных скриптах»
(Options -> Notifications "Show message about blocked scripts")
Это не сообщения в строке состояния. Для строки состояния см. noscript.statusLabel.
Обсуждение количества заблокированных скриптов в уведомлении
noscript.notify.hide
Настройки -> Уведомления «Скрывать сообщения после X секунд»
(Options -> Notifications "Hide after X seconds")
noscript.notify.hidePermanent
true — при возврате на вкладку не показывать ещё раз сообщения о заблокированных
скриптах, если они были скрыты (нажатием на крестик или по истечении X секунд).
noscript.nselForce
Настройки -> Дополнительно -> Доверенные «Показывать элемент <NOSCRIPT>,
который следует за заблокированным <SCRIPT>
(Options -> Advanced -> Trusted "Show the <NOSCRIPT> element ‹…›")
Отображение ближайшей замены содержимого заблокированных 3rd party тегов script, даже если
разрешены скрипты документа верхнего уровня (main page).
https://noscript.net/features#extraopts -> Trusted
noscript.nselNever
Настройки -> Дополнительно -> Недоверенные «Скрывать элементы <NOSCRIPT>
("Options -> Advanced -> Untrusted "Hide <NOSCRIPT> elements")
true — скрывать содержимое контейнера <NOSCRIPT>, которое должно отображаться если
запрещены скрипты.
https://noscript.net/features#extraopts -> Untrusted
noscript.opacizeObject (1.8.2)
Устаревшая настройка.
Настройки -> Встроенные объекты «Изменять прозрачность встроенных объектов на страницах…»
(Options -> Embeddings "Opaque embedded objects on pages…")
1 — недоверенных
2 — доверенных
3 — доверенных и недоверенных
0 — не изменять
noscript.options.tabSelectedIndexes
Последняя открытая вкладка в Настройках, например:
0,0,0 — Основные (General)
1,0,0 — Белый список (Whitelist)
5,4,0 — ABE
noscript.placeholderCollapseOnClose (2.6.8.16rc4)
false — при скрытии заблокированного элемента его место не заполняется другим содержимым
(см. noscript.collapseObject).
noscript.placeholderLongTip (2.0.9.9rc1)
Должны ли подсказки у заблокированных объектов включать строки запроса и хэш-фрагменты.
noscript.placeholderMinSize (1.8.9.3)
Размер меньшей стороны свёрнутых заблокированных объектов.
noscript.placesPrefs
Устаревшая настройка. В Закладках создается папка NoScript, в ней закладка [NoScript].
Настройки -> Основные «Создать резервную копию настроек в закладках для лёгкой синхронизации»
(Options -> General "Backup NoScript configuration in a bookmark for easy synchronisation")
noscript.preset
Устаревшая настройка. Предустановка уровня защиты: off, low, medium, high.
noscript.proxiedDNS
«— Я использую NoScript с анонимным прокси.
Каким должно быть значение noscript.proxiedDNS, чтобы избежать утечки DNS?
— 0 наиболее строгие ограничения, это означает что NoScript не пытается выполнять
какие-либо разрешения DNS, если подключение идет через прокси.
1 предотвращение прямого разрешения DNS, если вы используете прокси SOCK5.
2 выполняет DNS-запросы когда это необходимо, независимо от настройки прокси-сервера».
https://forums.informaction.com/viewtopic…#p4458 Giorgio Maone
noscript.recentlyBlockedCount
Количество отображаемых «Недавно заблокированных сайтов» ("Recently blocked sites").
http://bbs.kafan.cn/thread-1621404-1-1.html 462588842
Обсуждение количества недавно заблокированных сайтов
noscript.recentlyBlockedLevel
Как отображать «Недавно заблокированные сайты» ("Recently blocked sites")
0 — не указано
1 — полные адреса http://www.123.com/
2 — полные домены www.123.com
3 — базовые домены 123.com
http://bbs.kafan.cn/thread-1668724-1-1.html#post_30228155 江3如此多娇
noscript.removalWarning (2.6.5)
Предупреждение о понижении уровня безопасности (Security Downgrade Warning) при
отключении или удалении NoScript. Предлагается режим чёрного списка, чтобы сохранить
меры защиты не связанные с блокировкой скриптов. В 2.6.8.41rc2 добавлен checkbox
«Всегда спрашивать подтверждение».
Предупреждение удалено в 5.1.4rc1.
noscript.removeSMILKeySniffer (2.2.2rc1)
Защита от scriptless SVG-based keylogging.
https://forums.informaction.com/viewtopic.php?f=10&t=5920 al_9x
noscript.requireReloadRegExp (1.7.5.1)
Быстрая перезагрузка при разрешении указанных плагинов.
noscript.restrictSubdocScripting (2.6.8.26)
true — скрипты, даже внесённые в белый список, не могут быть загружены и запущены
во FRAMEs и IFRAMEs, URL родительского документа которых не добавлен в белый список.
false — сохраняются правила загрузки и запуска скриптов только в зависимости от их
происхождения и независимо от их родителей.
«Эти функции добавляются по желанию проекта TOR, полезны для пользователей TOR Browser и,
возможно, для некоторых постоянных пользователей NoScript.»
В 2.6.8.31 внесено в Настройки -> Дополнительно -> Недоверенные
«Блокировать скрипты из белого списка в субдокументах не из белого списка»
(Options -> Advanced -> Untrusted "Block scripting ‹…› pages")
https://forums.informaction.com/viewtopic…#p69787 Giorgio Maone
noscript.safeJSRx (1.1.6.18)
По умолчанию предотвращается выполнение JavaScript с привилегиями chrome
(https://www.mozilla.org/en-US/security/…#firefox3.5.2).
Регулярное выражение позволяет определённым скриптам «обойти» это ограничение.
http://forums.mozillazine.org/viewtopic…#p3034091 Giorgio Maone
https://forums.informaction.com/viewtopic…#p79513 barbaz
noscript.sanitizePaste (2.6.9.16)
Дополнительная очистка HTML при вставке форматированного текста в
контент-редактируемые элементы.
noscript.secureCookies (1.8.0.5)
Настройки -> HTTPS -> Cookies «Автоматическая система управления безопасностью куки»
(Options -> HTTPS -> Cookies -> "Enable Automatic Secure Cookies Management")
К заголовкам Set-Cookie «на лету» добавляется недостающий флаг ";Secure".
https://noscript.net/faq#qa6_4
https://hackademix.net/2008/09/10/noscript-vs-insecure-cookies/
noscript.secureCookies.perTab (1.8.1.2)
Для обеспечения совместимости удаляется флаг ";Secure", добавленный NoScript’ом,
при переходе из зашифрованной в незашифрованную часть сайта с теми же куки.
true — при переходе в той же вкладке.
false — не только в той же вкладке, но и при переходе на другую вкладку сайта.
https://noscript.net/faq#qa6_4
noscript.secureCookies.recycle
true — флаг ";Secure" не удаляется даже при переходе HTTPS -> HTTP -> HTTPS.
("if set to true, NoScript patches cookies even when navigating from a plain HTTP site to
a HTTPS site." barbaz)
noscript.secureCookiesForced (1.8.0.6)
Настройки -> HTTPS -> Cookies -> Автоматическая система управления безопасностью куки
«Использовать шифрование для ‹…› следующих сайтов:»
(Options -> HTTPS -> Cookies -> Enable Automatic Secure Cookies Management
"Force encryption for ‹…› sites:")
Адреса сайтов писать через пробел.
https://noscript.net/faq#qa6_4
noscript.showAddress
Настройки -> Внешний вид «Полные адреса (http://www.noscript.net)»
(Options -> Appearance "Full Adresses (http://www.noscript.net)")
noscript.showAllowPage
Настройки -> Внешний вид «Разрешить все скрипты на этой странице»
(Options -> Appearance "Allow all this page")
Не относится к заблокированным объектам, только к скриптам.
noscript.showBaseDomain
Настройки -> Внешний вид «Базовые домены 2-го уровня (noscript.net)»
(Options -> Appearance "Base 2nd level Domains (noscript.net)")
noscript.showBlankSources (1.9.9.70)
true — отображение about:blank в меню разрешений в качестве вторичного источника.
noscript.net/faq#qa1_9
noscript.showDistrust
Настройки -> Внешний вид «Отметить [...] как Недоверенный»
(Options -> Appearance "Mark [...] as Untrusted")
noscript.showDomain
Настройки -> Внешний вид «Полные домены (www.noscript.net)»
(Options -> Appearance "Full Domains (www.noscript.net)")
noscript.showPlaceholder
Настройки -> Встроенные объекты «Заполнитель вместо заблокированных объектов»
(Options -> Embeddings "Show placeholder icon")
noscript.showRecentlyBlocked (1.9.8.5, 1.9.8.6)
Настройки -> Внешний вид «Недавно заблокированные сайты»
(Options -> Appearance "Recently blocked sites")
Список стирается при удалении истории, но не при выходе из приватного режима.
Перед закрытием приватного окна нужно нажимать на «Сброс».
Обсуждение ненужности этого пункта меню: 1,
2.
noscript.showRevokeTemp (1.1.9.7, 1.9.8.6)
Настройки -> Внешний вид «Отменить временные разрешения»
(Options -> Appearance "Revoke Temporary Permissions")
Нужно вручную отменять перед закрытием приватного окна: 1, 2.
noscript.showTemp
Настройки -> Внешний вид «Временно разрешить [...]»
(Options -> Appearance "Temporarily allow [...]")
noscript.showTempAllowPage (1.6.9.6)
Настройки -> Внешний вид «Временно разрешить все скрипты на этой странице»
(Options -> Appearance "Temporarily allow all this page")
Не относится к заблокированным объектам, только к скриптам.
noscript.showTempToPerm
Настройки -> Внешний вид «Сохранить установленные разрешения»
(Options -> Appearance "Make page permissions permanent")
noscript.showUntrustedPlaceholder (1.1.9.7)
Настройки -> Встроенные объекты
«Не показывать заполнитель вместо объектов с сайтов, отмеченных как недоверенные»
(Options -> Embeddings "No placeholder for object ‹…› untrusted")
noscript.showVolatilePrivatePermissionsToggle (2.6.9.8rc3)
Настройки -> Внешний вид «Пункты постоянных разрешений в приватном режиме»
(Options -> Appearance "Permanent "Allow" commands in private windows")
Показывать ли одноимённый пункт в меню разрешений приватного окна.
(см. noscript.volatilePrivatePermissions)
https://noscript.net/faq#qa3_26
noscript.siteInfoProvider (1.9.9.60, 2.0.6rc1)
Информация о сайте, при нажатии СКМ или Shift+ЛКМ на пункте меню разрешений или на пункте в
Настройки -> Белый список (Options -> Whitelist). Дефолтный адрес можно менять, например:
http://www.urlvoid.com/scan/%utf8%
https://www.dshield.org/ipinfo.html?ip=%utf8%
https://noscript.net/features#siteinfo
https://hackademix.net/2013/04/06/noscripts-security-and-privacy-info-feature/
noscript.smartClickToPlay (2.3.8rc1)
Интеграция с click to play.
true — при подтверждении NoScript’овского разрешения включения плагина, он включается сразу.
false — дополнительно требуется нажать на «Включить Adobe Flash».
noscript.sound
Настройки -> Уведомления «Звуковое оповещение при блокировке скриптов»
(Options -> Notifications "Auto feedback when scripts are blocked")
noscript.sound.oncePerSite
Не повторять «Звуковое оповещение при блокировке скриптов» при повторном переходе на вкладку,
открытии недавно закрытой вкладки.
noscript.statusIcon
Настройки -> Внешний вид «Значок в строке состояния»
(Options -> Appearance "Status bar icon")
https://noscript.net/faq#qa2_7a
noscript.statusLabel
Настройки -> Внешний вид «Сообщения в строке состояния»
(Options -> Appearance "Status bar label")
noscript.stickyUI (1.8.4)
Не относится к меню, вызываемому с клавиатуры (Ctrl + Shift + S).
true — меню разрешений не пропадает без клика в другом месте
(если меню разрешений открыто нажатием ЛКМ, а не наведением курсора).
false — будет пропадать после любого действия.
https://noscript.net/faq#qa5_5
noscript.stickyUI.liveReload (1.8.4)
true — перезагрузка страницы после разрешения/запрещения первого же скрипта,
без закрытия меню разрешений.
false — перезагрузка страницы после клика в другом месте.
https://noscript.net/faq#qa5_5
noscript.stickyUI.onKeyboard
Для меню, вызываемого с клавиатуры (Ctrl + Shift + S).
true — перезагрузка страницы после разрешения/запрещения первого же скрипта.
false — перезагрузка страницы после клика в другом месте или нажатия Esc.
https://noscript.net/faq#qa5_5
noscript.subscription.*URL (1.9.9.53)
«Туда просто нужно вбить урлы на файлы подписок и радоваться…»
https://forum.mozilla-russia.org/viewtopic…#p414014 iDev.Pi
noscript.surrogates.debug (1.9.9.98rc4)
Отображение в консоли ошибок, вызванных срабатыванием суррогатов.
(только ошибок, а не всех срабатываний).
noscript.surrogate.matchPrivileged (5.1.6.4rc1)
Если значение "true", то суррогаты срабатывают и на привилегированных
страницах (moz-extension:).
https://forums.informaction.com/viewtopic.php?p=95466#p95466
noscript.surrogate.surrogate_name.exceptions (1.8.9.3)
Страницы, где не надо применять surrogates.
https://hackademix.net/2009/01/page/2/
noscript.surrogate.surrogate_name.replacement (1.8.9.3)
Код JavaScript, который будет выполнен.
Обновляемый список встроенных — List of sites for which NoScript provides surrogates.
Можно создавать свои правила — script-surrogates-quick-reference.
Примеры:
autofocus https://forums.informaction.com/viewtopic…4301 Giorgio Maone
document.write (infinite loading)
https://forum.mozilla-russia.org/viewtopic.php?pid=613017#p613017 Lex1
https://forum.mozilla-russia.org/viewtopic.php?pid=589802#p589802 Lex1
https://forums.informaction.com/viewtopic.php?p=22473
dom.event.contextmenu.enabled
https://forums.informaction.com/viewtopic.php?p=98024#p98024 barbaz
id (zap (грохнуть ненужный элемент))
https://forums.informaction.com/viewtopic.php?p=60377#p60377 Thrawn
https://forums.informaction.com/viewtopic.php?p=79047#p79047 Thrawn
inline (I)FRAMES (zap) https://forums.informaction.com/viewtopic.php?p=73087&#p73087 barbaz
inline scripts (блокировка inline-скриптов, при работающих внешних скриптах)
https://forums.informaction.com/viewtopic.php?f=23&t=19937
https://forum.mozilla-russia.org/viewtopic.php?pid=700318#p700318 jars
inline SVG (zap) https://forums.informaction.com/viewtopic.php?p=73003#p73003 barbaz
jQuery (замена ajax.googleapis.com, yastatic.net, code.jquery.com и т.п.)
https://forums.informaction.com/viewtopic.php?f=26&t=20473
https://forums.informaction.com/viewtopic.php?p=69882#p69882
Lazy load images (увидеть изображения, предназначенные для отложенной загрузки)
https://forums.informaction.com/viewtopic.php?f=26&t=19929 barbaz
keydown, keypress, keyup
https://forums.informaction.com/viewtopic.php?p=80666#p80666 barbaz
mousedown, mouseover, click, focus
https://forums.informaction.com/viewtopic.php?p=84050#p84050 barbaz
mouseleave, mouseout https://forums.informaction.com/viewtopic.php?f=7&t=21076
navigator.app* + navigator.platform
https://www.wilderssecurity.com/threads/…25325842 Techwiz
navigator.cookieEnabled
(return true) https://forums.informaction.com…#p16102 Giorgio Maone
http://forums.mozillazine.org/viewtopic…#p5786235 Giorgio Maone
(запретить проверку разрешения) https://forums.informaction.com…#p16142 Giorgio Maone
navigator.mimeTypes + navigator.plugins
https://forums.informaction.com/viewtopic…#p80915 barbaz
https://www.wilderssecurity.com/threads/…2532142 TheWindBringeth
navigator.mozGetUserMedia (media.navigator.enabled)
https://forums.informaction.com/viewtopic.php?f=18&t=18818 barbaz
navigator.plugins https://bugzilla.mozilla.org/…757726 Garrett Smith
https://wiki.kairaven.de/open/app/firefox#plugin-fingerprinting Kai Raven
navigator.sendBeacon (beacon.enabled)https://forums.informaction.com/viewtopic…75258 barbaz
https://forums.informaction.com/viewtopic.php?f=7&t=19912&p=70886#p70886 barbaz
https://openuserjs.org/scripts/tntc4/navigator.sendBeacon_Remover/source tntc4
navigator.userAgent (general.useragent.override.example.tld)
https://javascript.ru/…perezapis-standartnykh-obektov.html#post249852 danik.js
https://superuser.com/questions/445869/user-agent-header-for-a-single-site…695049
Pastejacking (dom.allow_cut_copy) https://github.com/The-OP/Fox/…comment-224301010 The-OP
Rightclick https://forums.informaction.com/viewtopic.php?p=85909#p85909 lexi
UTC https://gist.github.com/huafu/9867833#file-force-utc-date-js huafu
window.close (popups) https://forums.informaction.com/viewtopic.php?p=21804#p21804 Giorgio Maone
window.confirm https://forums.informaction.com/viewtopic.php?p=83955#p83955 barbaz
window.eval https://www.dslreports.com/forum/… Improfane
window.getSelection (добавить Object.defineProperty(document, "getSelection", {value:function(){return {};}});)
https://github.com/…/disable-getselection.user.js The-OP
window.indexedDB (dom.indexedDB.enabled) http://forum.ru-board.com/topic…3760#12 file heka
window.localStorage + window.sessionStorage (dom.storage.enabled)
https://forums.informaction.com/…#p18968 al_9x
https://bugzilla.mozilla.org/show_bug.cgi?id=527970#c6 al_9x
window.mozRTCPeerConnection (media.peerconnection.enabled)
https://forums.informaction.com/viewtopic.php?p=75495#p75495 barbaz
window.navigator, window.screen https://forums.informaction.com/viewtopic…#p71552 barbaz
window.onbeforeunload (dom.disable_beforeunload)
https://forums.informaction.com…p12319 Giorgio Maone
https://forums.informaction.com/viewtopic…#p62624
window.open (disable_popups) https://forums.informaction.com/viewtopic.php?p=20777#p20777
window.opener (close/hijacks the original tab)
https://forums.informaction.com/viewtopic.php?p=86339#p86339 barbaz
window.print https://forums.informaction.com/viewtopic…#p78100 barbaz
window.requestAnimationFrame (добавить Object.defineProperty(window,"mozRequestAnimationFrame",{set:function(){}});)
https://forums.informaction.com/viewtopic…#p70202 barbaz
window.screen.avail* https://superuser.com/questions/…customize-screen-resolution
window.setInterval (notimers) https://forums.informaction.com/viewtopic.php?p=28260p28260
window.setTimeout (antirefresh) https://forums.informaction.com/viewtopic…#p14800 Giorgio Maone
window.top (noframebreak, noframebusting)
http://forums.mozillazine.org/viewtopic.php?p=5689285#p5689285 Giorgio Maone
https://forums.informaction.com/viewtopic.php?p=27432#p27432
https://hackademix.net/2009/01/page/2/
https://forum.mozilla-russia.org/viewtopic…#p590478 Lain_13
https://forum.mozilla-russia.org/viewtopic…#p453021 Vladimir_S
noscript.surrogate.surrogate_name.sources (1.8.9.3)
URL заменяемого скрипта.
!@ https://noscript.net/changelog#1.9.9.95rc1
no prefix, @, ! https://forums.informaction.com/viewtopic.php?p=18370#p18370
Notice that the "@" before URL… Giorgio Maone
<, > https://noscript.net/changelog#2.1.3rc5
Начиная с версии 2.6.8.15 можно указывать путь к локальному файлу — file:///D:/example.js
noscript.sync.enabled (2.1.0rc5)
Синхронизация настроек без задействования экспорта/импорта файла настроек.
https://forum.mozilla-russia.org/viewtopic.php?id=43364 Lain_13
noscript.temp
Cписок временно разрешённых сайтов.
noscript.tempGlobal (1.1.8.3)
true — при перезапуске браузера автоматически снимается галка
«Глобальное разрешение скриптов (опасно) ("Allow Scripts Globally (dangerous)").
https://forums.informaction.com/viewtopic…#p34908
maone.net/viewtopic.php?p=7538#p7538
noscript.toStaticHTML (1.9.9.98rc2)
Суррогат, основанный на window.toStaticHTML (Safer Mashups: HTML Sanitization — из строки,
переданной этой функции, удаляются любые конструкции потенциально исполняемых скриптов).
https://forums.informaction.com/viewtopic.php?f=10&t=5920 al_9x
https://forums.informaction.com/viewtopic.php?p=19516#p19516
noscript.toggle.temp (1.1.4.6.070317)
По нажатию CTRL + SHIFT + \
true — временно запретить/разрешить документ верхнего уровня.
false — постоянно запретить/разрешить документ верхнего уровня.
https://noscript.net/features#kbshort
noscript.toolbarToggle (1.1.4.1)
(отключается с помощью noscript.hoverUI.excludeToggling)
Настройки -> Основные -> «Нажатием на значок переключать разрешение
документа верхнего уровня активной вкладки»
1 — «Полные адреса (http://www.noscript.net)»
2 — «Полные домены (www.noscript.net)»
3 — «Базовые домены 2-го уровня (noscript.net)»
(Options -> General -> "Left clicking on NoScript toolbar button ‹…› site")
1 — "Full Addresses (http://www.noscript.net)"
2 — "Full Domains (www.noscript.net)"
3 — "Base 2nd level Domains (noscript.net)"
noscript.truncateTitle (1.1.3.5)
Сокращение длинных имён, в т.ч. при сохранении вкладок.
Защита от ошибки 319004 (DOS атаки), в т.ч. на whitelisted сайтах.
С v 2.0.9.8 также сокращение URL placeholder’ов подсказок в строке запроса
для удобства читаемости.
noscript.truncateTitleLen
Количество символов noscript.truncateTitle.
noscript.untrusted
Недоверенные сайты. Не разрешаются, даже если используются режимы «Временно разрешать
документы верхнего уровня по умолчанию» или «Глобальное разрешение скриптов».
Экспортируются в тот же файл, что и белый список. Редактировать можно в этом файле,
в about:config, в меню разрешений.
SOME SITES YOU MIGHT NOT WANT TO ALLOW Tom T.
https://noscript.net/faq#qa3_10
https://noscript.net/features#blacklist
noscript.untrustedGranularity (1.7.5.3)
Определяет, как удаление (вручную) домена из blacklist и внесение во whitelist
влияет на статус потомков:
0 — не вносить потомков в blacklist.
1 — держать потомков в blacklist при временном разрешении.
2 — держать потомков в blacklist при постоянном разрешении.
3 — всегда держать потомков в blacklist.
4 — удалять потомков из blacklist при разрешении недоверенного домена.
Белый список подчиняется этой настройке.
https://www.dslreports.com/forum/…v175-Dev-Build-Available Grail Knight
noscript.urivalid.protocolname (1.1.6.12)
URI-валидитор для защиты от URI-based эксплойтов.
Можно создавать строковые параметры по образцу noscript.urivalid.aim
или пробовать добавлять протоколы в noscript.fixURI.exclude.
http://forums.mozillazine.org/viewtopic…#p3375377 Giorgio Maone
noscript.utf7filter (1.1.6.05)
Защита от UTF-7 XSS атак.
noscript.volatilePrivatePermissions (2.6.9.7)
Меню разрешений в приватном режиме ->
«Пункты постоянных разрешений в приватном режиме»
("Permanent "Allow" commands in private windows")
false — показываются постоянные и временные разрешения.
true — показываются только временные разрешения.
Временные разрешения не сохраняются на диск.
(см. noscript.showVolatilePrivatePermissionsToggle).
noscript.webext.enabled (5.0.3rc3)
Контроль запуска встроенного WebExtension.
https://developer.mozilla.org/ru/docs/Archive/Add-ons/Embedded_WebExtensions
https://noscript.net/changelog#5.0rc1
noscript.whitelistRegExp (1.1.8)
Для обхода ограничения на использование в белом списке подстановочных знаков только в субдомене.
(https://noscript.net/features#sitematching).
Использовать только в исключительных случаях.
http://forums.mozillazine.org/viewtopic…#p3312305
^https?://[^/]+\.edu/
http://forums-test.mozillazine.org/viewtopic…#p3208645 Giorgio Maone
.*\.(?:edu|gov)
http://forums.mozillazine.org/viewtopic…#p5576055 Giorgio Maone
noscript.xss.checkInclusions (2.1.8rc2)
Защита от атаки Cross Site Scripting Inclusion (XSSI).
https://forums.informaction.com/viewtopic.php?f=7&t=7490
noscript.xss.notify.subframes (1.1.4.8rc1)
Предупреждения об XSS в субфреймах.
noscript.xss.trustData
true — anti-XSS фильтр должен быть обойден для javascript: и data: URL.
https://forums.informaction.com/viewtopic.php?p=79577#p79577
noscript.xss.trustExternal (1.1.4.8.070509)
true — anti-XSS фильтр должен быть обойден для URL-адресов, открываемых из внешних приложений,
таких как почтовые клиенты.
http://forums-test.mozillazine.org/viewtopic…p3331959 Giorgio Maone
noscript.xss.trustReloads (1.1.4.8.070425)
false — проверять на XSS при автоперезагрузке страниц, вносимых в белый список.
noscript.xss.trustTemp (1.1.4.8.070509)
false — «Временно разрешённые» сайты рассматриваются как недоверенные, с точки зрения
защиты от XSS, даже если запросы от этих сайтов не содержат HTML или JS инъекции.
true — обход anti-XSS для временно разрешённых.
https://noscript.net/features#xss
https://noscript.net/features#xssopts