افزونه «نه‌اسکریپت»


بهترین روش برای مقابله با این حمله غیر فعال کردن اسکریپت‌های مشکوک است. یکی از افزونه‌های فایرفاکس این کار را به خوبی انجام می‌دهد. ابتدا no-script add-on را دانلود و نصب کنید.



چگونگی تنظیم افزونه «نه‌اسکریپت»



سپس پنجره ی مقابل را خواهید دید. روی Preferences کلیک کنید.در اینجا شما می‌توانید تنظیمات دلخواه خود را به کار بگیرید. به طور کلی در noscript وبسایت‌هایی که کاربر به آن‌ها مراجعه می‌کند به دو دسته ی trusted یا قابل اعتماد و untrusted یا غیرقابل اعتماد تقسیم می‌شوند. وبسایت‌های قابل اعتماد را می‌توانید به مراجعه به منوی Whitelist ذخیره کنید. این لیست سفید به طور پیش فرض نام وبسایت‌هایی نظیر gmail و یا facebook را در خود ذخیره دارد. ذخیره کردن یک وبسایت در لیست سفید باعث می‌شود که آن وبسایت در دسته ی وبسایت‌های قابل اعتماد قرار بگیرد.



noscript برای وبسایت‌های غیرقابل اعتماد محدودیت بیشتری در نظر می‌گیرد. این محدودیت‌های بیشتر در منوی Embeddings قابل مشاهده هستند.



برای مثال به طور پیش فرض قابلیت اجرای کدهای نمایش Adobe Flash و یا Microsoft Silverlight از وبسایت‌های غیرقابل اعتماد سلب شده است چرا که اجرای تک تک این کد‌ها می‌توانند به طور بالقوه برای کاربر خطرناک باشد.

کاربر می‌تواند به طور دلخواه هر یک از این محدودیت‌ها را حذف کند اگرچه حذف هر یک وی را در معرض یکی از این خطرهای بالقوه قرار می‌دهد.

هر بار که noscript جلوی اجرای یک کد را می‌گیرد. به کاربر درباره ی این تصمیم اخطار می‌دهد. در منوی Notifications کاربر می‌تواند تنظیمات مربوط به نوع اخطارها را مشاهده کند. بنابر تنظیمات پیش فرض کاربر پیغامی‌ در پایین صفحه مشاهده می‌کند که درباره ی کد‌های منع شده یا اجرا شده در صفحه توضیح می‌دهد.



از آنجایی که که گاهی کاربران محدودیت‌های اعمال شده را مانع از گشت و گذار آسان خود در وب می‌بینند، می‌توانند در منوی General، با انتخاب تنظیم Temporarily Allow top-level sites by default دامین اصلی وبسایت‌های در حال مشاهده خود را به طور موقت به لیست سفید وبسایت‌های قابل اعتماد اضافه کنند. این کار باعث می‌شود که تنها کدهایی که مرجعشان سایت اصلی است قابل اجرا شوند و هرگونه کدی که به سایتی غیر از وبسایت اصلی اشاره دارد همچنان به عنوان غیرقابل اعتماد تلقی شود.

در منوی Advanced تنظیمات پیشرفته تر نظیر تنظیمات مربوط به حمله‌های XSS قابل مشاهده اند. در این منو نیز کاربر می‌تواند استثنائاتی برای محافظت‌های اعمالی علیه XSS در نظر بگیرد. به طور پیش فرض noscript کلیه درخواست‌هایی را که مشکوک به حمله ی XSS هستند را sanitize کرده و کلیه ی درخواست‌های cross-site از نوع POST را به درخواست‌های GET بدون داده تبدیل می‌کند.



معنی کلمات تکنیکی:

اسکریپت: در اینجا به معنی کدهایی است که در صفحات وب موجود هستند. بعضی از این کدها برای نمایش بهتر صفحه لازم هستند. در بعضی موارد هکرها از این کدها برای دزدیدن اطلاعات شخصی استفاده می‌کنند.