RequestPolicy
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
これはよさそう。
これは、JavaScriptをブロックするのではなく、ドメインをまたがって参照している(same-originでない)インラインコンテンツ(Webページ中に埋め込まれた画像やフレーム、Flash、JavaScript等)をブロックするものである。
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
そう、そこがキモなんですよねー。fc2テンプレートに垢ハック仕込む、とかの手口も、結局はテンプレートにiframeで外部サイトを仕込んでいるわけで。「same-originでないインラインコンテンツ」をカットできるなら、それでいい(場合が多い)。
「NoScript」で普段使うサイトのJavaScriptを許可に設定してしまうと、そのサイトが改竄されたときに対策がパアになる。
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
これは常々不安に思っていた。しかしRequestPolicyの場合は、参照元ドメインだけでなく、参照先ドメインも指定できるので、細かいカスタマイズが可能だし、必要にして十分なコンテンツを有効にする事ができるだろう。NoScriptだとその辺がどうも融通が利かないというか……
あと単純に、先の騒動でNoScript作者への信頼が揺らいでいるというのもある。「より良い」……かどうかはともかくも、別の手段を用意しておくにこした事はない。
まだ「実験的なアドオン」とのことだし、はてブコメントによるとワイルドカード指定ができないらしいけど、とりあえず入れてみる。