高木浩光＠自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
これはよさそう。

これは、JavaScriptをブロックするのではなく、ドメインをまたがって参照している（same-originでない）インラインコンテンツ（Webページ中に埋め込まれた画像やフレーム、Flash、JavaScript等）をブロックするものである。

高木浩光＠自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした

そう、そこがキモなんですよねー。fc2テンプレートに垢ハック仕込む、とかの手口も、結局はテンプレートにiframeで外部サイトを仕込んでいるわけで。「same-originでないインラインコンテンツ」をカットできるなら、それでいい（場合が多い）。

「NoScript」で普段使うサイトのJavaScriptを許可に設定してしまうと、そのサイトが改竄されたときに対策がパアになる。

高木浩光＠自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした

これは常々不安に思っていた。しかしRequestPolicyの場合は、参照元ドメインだけでなく、参照先ドメインも指定できるので、細かいカスタマイズが可能だし、必要にして十分なコンテンツを有効にする事ができるだろう。NoScriptだとその辺がどうも融通が利かないというか……
あと単純に、先の騒動でNoScript作者への信頼が揺らいでいるというのもある。「より良い」……かどうかはともかくも、別の手段を用意しておくにこした事はない。
まだ「実験的なアドオン」とのことだし、はてブコメントによるとワイルドカード指定ができないらしいけど、とりあえず入れてみる。