快速上手 NoScript，打造安全、順暢、一點點麻煩的網路瀏覽

前兩天寫完「我的Firefox攻略」一文，裡面提到了「NoScript」這款套件可以提供網頁瀏覽的安全保護，但使用起來也頗麻煩；不過後來我自己又仔細推敲了一遍，覺得應該還是可以找到一個讓一般用戶也可以輕鬆理解、上手的NoScript使用流程，不僅搞懂它在幹嘛，也能自在的掌控它，並讓自己上網時更安全、更順暢，但只帶來一點點麻煩的副作用。

所以既之前挑戰了讓想要讓一般用戶也能理解的「Comodo Internet Security教學攻略」，今天我想試試看，能不能寫出一篇讓大多用戶也可以快速上手NoScript的教學（成不成功就留給大家評論囉！）。

NoScript這款Firefox套件可以用來幹嘛？一言以蔽之，它的功能就是：擋住所有網頁上主動執行的程式動作。例如你一進入電腦玩物，我就開始偵測你的來源、瀏覽的網頁、點擊的連結，我也開始會放廣告、影片給你看，但NoScript可以把這些程式全部擋起來，而且它的預設原則是什麼都擋！

• NoScript：https://addons.mozilla.org/zh-tw/firefox/addon/722/
• 相關文章：
• NotScripts 網路安全戒嚴套件， Google Chrome上的 NoScript
• 快速上手系列：
• 快速上手Q-Dir 4.x，用多窗格、多分頁高效率瀏覽管理檔案
• 快速上手Xmarks， 亂中有序的Firefox書籤同步檢索應用筆記
• 快速上手 Yoono，一用就愛不釋手的社群媒體專用瀏覽器套件
• 快速上手Dexpot 1.5，用多重虛擬桌面分類視窗工作群組

 

• 什麼是NoScript？

把網頁中任何會主動執行的程式都擋起來，這會造成什麼影響呢？

• 1.只剩內容，讓你只看到網頁的內文、圖片，沒有其它附帶執行的網頁程式，從這一點來說有時候會讓網頁瀏覽更順暢。
• 2.預先防止不知道什麼時候會出現的惡意程式；因為你不知道在瀏覽哪個陌生網站時可能遇到網頁中主動執行的惡意程式，所以只要不認識的就先擋下來，這樣的原則就可以充分確保安全。
• 3.可能會讓網頁正常功能無法使用，所以這時候我們就要開始手動允許「信任的」網頁程式。

我覺得理解到上述三點就夠了，老實說NoScript介面設計得太複雜，裡面有太多的專業術語，中文語系的翻譯邏輯感覺也有問題，這都會造成用戶的使用障礙。

所以我們不要管NoScript設定中那些東西，先記住上面這三點即可，而由此也可以導出NoScript的兩大使用邏輯：

• 安裝－→上網－→沒有感覺到什麼使用上的問題－→繼續上網。
• 安裝－→上網－→遇到信任網站無法正常使用－→允許信任的網頁程式－→繼續上網。

就這樣，是不是看起來很簡單？那麼下面我就以圖文搭配的方式，解說一下NoScript的操作流程。

▲例如我來到Grooveshark這個網頁音樂播放服務中，因為預設把所有網頁上主動執行的程式全部擋起來，所以第一次進入看到的是一片空白。

▲接著我到右下方NoScript選單中，先一個一個允許我信任的網頁程式執行，直到音樂播放器正常運作即可。然後NoScript會記住我們這次操作後設定的新規則，以後進入Grooveshark不用重新設定就能直接正常播放音樂了。

 

 

• 01.唯一需要設定之處：同步、備份你的NoScript規則

在Firefox中安裝NoScript，接著我們要做什麼設定嗎？我只建議改變一項設定就好，那就是到選項的〔一般〕頁面，勾選「輕鬆把NoScript組態備份到書籤中來達到同步」。

其它那些看不懂在講什麼的設定？放著，依照預設值，完全不用理它們。

這樣一來，你持續建立的的NoScript允許規則，就會跟著你的書籤一起同步（當然，你必須先使用書籤同步套件，例如Xmarks、Firefox Sync）。

如果你使用很多台電腦，或者電腦當機重灌，只要NoScript的規則跟著書籤一起備份在雲端，那麼你就不用擔心需要重新建立規則的麻煩。

例如我來到另外一台電腦安裝NoScript，同樣也先去勾選書籤備份同步的選項，接著NoScript就會詢問你「發現一個之前的組態記錄」，問你要不要覆蓋？這時候點選〔確定〕，就可以把之前的紀錄匯入新的NoScript中了。

 

 

• 02.如何讓NoScript允許網頁中的正常程式執行？

接下來對於像我這樣的一般用戶來說，就只要開始正常使用NoScript即可。

來到一個新的網站，預設所有的網頁程式都會被阻擋，這時候你可以在瀏覽器右下角的NoScript上看到紅色禁止圖示，這表示這個網頁中還有被禁止執行的程式。

我們將滑鼠游標移動到NoScript圖示上，就會自動彈出程式清單，只要點擊「允許XXXXXXX」，就能將來自該網址的程式放行。而這個規則也會被記錄下來，以後遇到來自同一個網址的程式都會放行。

例如你允許了一個來自「Google」的程式，那麼以後其它網站中來自Google的程式也都會自動放行。

如果網頁用起來很正常，那麼你完全可以不管NoScript的存在！因為我們不一定要放行所有的網頁程式，只要放行到這個網頁對我來說可以正常使用即可（有時候完全阻擋下，這個網頁還是可以正常使用）。

所以我前面才會列舉那兩大使用邏輯，因為對於一般用戶來說，使用NoScript就是邊上網邊慢慢設定新規則即可。而我們常常去的網站應該就是那幾個，所以大概不需半天，你就能設定出適合自己的NoScript規則，以後來到這些常用網站就能正常瀏覽了！

至於那些陌生新網站呢？那麼可能就需要再設定新的規則（如果新網站可以正常使用，那麼也不需管新規則了），但這不僅不是麻煩，反而正是NoScript的安全之處，因為它只允許我們認識的網頁程式，而預先阻擋我們不認識的陌生網頁程式，這樣才能確保安全。

 

 

• 03.如何判斷網頁中的程式應不應該信任？

問題來了，我現在知道怎麼在NoScript中「允許」網頁程式，但是有些網頁程式我看都沒看過，我要怎麼知道安不安全？可不可以允許呢？

首先，例如Google、Yahoo，或是任何你覺得自己認識且可以信任的網站，那麼一般來說都可以允許。

而對於真的完全沒看過的網頁程式，我們可以在清單項目上點擊〔滑鼠中鍵〕（或是按下〔Shift〕＋〔滑鼠左鍵〕）。

這時候就會跳出NoScript的安全資訊頁面，網頁中會提供來自WOT、McAfee SiteAdvisor這些安全服務的檢測結果，你只要點擊相應連結就可以看到各種不同的安全評比。

而這就是你可以判斷要不要允許某個網頁程式最好的依據了。

 

 

• 04.如何允許像是Facebook按讚那樣的特殊點擊功能？

接下來講一個大家應該也會遇到的特殊情況，那就是「潛在的點選劫持/使用者介面補償企圖攻擊！」……不要管這個聽起來很難懂的說明，從實際情況解釋就很好理解。

例如現在很流行的Facebook按讚按鈕，當你在網頁中要點選這個讚的時候，可能就會跳出這個警告視窗！

這時候如果你確認目前這個網頁是可以信任的，這個按讚的按鈕也是Facebook正常功能，那麼我們可以在彈出視窗中，取消勾選「保持鎖定此元素」，按下〔確定〕。

這時候你就能正常使用按讚這個功能了！

NoScript這個攔截設計，主要是幫你阻擋那些不可信任的、有危險的網頁點擊，以免你點開了惡意程式自己都不知道，所以這個功能是有用的。

至於一些可信任的小工具，我們就可以用上述方法來允許它們執行。

另外，有時候你可能會遇到，在同一個網站的不同網頁中執行同樣工具，結果每次都彈出這個警告視窗？不是之前已經允許過了嗎？是的，如果你希望一個「可信任網站」以後執行某個「可信任小工具」時都能自動放行：

那麼就要在警告視窗中多取消一個「可信任」的項目方塊。

這樣一來只要這個網站和工具被你設定為信任，以後這個網站裡所有頁面都會放行該工具的點擊。

 

 

• 05.（可以不看這點）什麼是信任網站？

說到這裡，已經講完NoScript對一般用戶來說可能遇到的操作問題了，而且也講完了大家有需要用到的操作流程。

不過我覺得還有一點小觀念可以補充說明一下，那就是什麼是「可信任」網站？

例如我已經允許了YouTube、Facebok等網站程式的執行，但現在我第一次來到Mobile01，我卻發現我還是無法在Mobile01上看YouTube的影片，也沒有辦法點擊Facebook按讚按鈕。

這是為什麼呢？因為我還沒有信任Mobile01，我必須允許Mobile01主網址本身，那麼這個網站中的某些程式才會跟著放行。

 

 

• 小結：

希望到這裡，大家都能對於使用NoScript有基本的認識與了解，能順利上手這款廣受歡迎的套件，並因此在保護自己瀏覽網頁安全的同時，也不會干擾到正常使用。

另外我推薦可以到設定的〔通知〕中，取消勾選「顯示阻擋Script的訊息」。為什麼呢？因為我前面說過一個使用原則就是：網頁用起來很正常時，就不用管NoScript是不是擋掉了什麼東西！

只有在網頁出現無法使用某些功能，某些元素無法出現時，我們才到右下角的清單去允許即可。

以上就是我自己使用NoScript的一些心得與經驗，希望對剛剛要上手這款套件的朋友有幫助，也歡迎指出錯誤或提供任何回饋。