肯定存在风险——脚本本质上允许在浏览器上执行代码。这些漏洞的范围从读取浏览器的历史记录到安装恶意软件再到网络钓鱼您的银行凭据——每一个都可能以某种方式对您造成“伤害”。

但是，鉴于当今大多数网站都依赖于脚本，因此关闭脚本会造成巨大损失，甚至包括该网站不再出现在您的浏览器中。关闭脚本也不会防止其他方式让您的计算机发生坏事，因此不便的回报并不高。

脚本最常见的用途可能是分析，它允许该站点的网站管理员获取有关谁正在访问哪些页面的信息，从而有可能改善站点的流量和所呈现的信息。然而，分析的另一面是有针对性的广告，它允许广告商跨多个站点跟踪用户。

网站上的大多数脚本“基本”无害，就像大多数可用软件“基本”无害一样。安全人员关注事物的恶意方面，并不断重新了解可用性和安全性之间存在权衡。

我个人所做的是使用带有附加组件 NoScript 和 Ghostery 的 Firefox。在这两者之间 - 特别是 NoScript - 将脚本注入我正在查看的页面的机会大大降低了。我仍然希望在某个时候得到 pwn，但是只要我继续关注，我所拥有的工具就会合理地让我了解正在发生的事情。

今天很多网站都需要启用脚本，否则用户可能会遇到可用性和整体网站功能的问题。当然，您可以禁用 JavaScript，例如，但即使这样也不能完全防止被利用。此外，您还需要禁用 Java、Flash、插件和附加功能。但这会使浏览器在今天变得毫无用处。最近在现代浏览器中出现了可以提高安全性的内置解决方案，例如 IE、Chrome 的 anti-XSS。对于 Firefox，有一个众所周知的扩展“ NoScript" 允许管理允许使用 JavaScript/Flash/Java 的站点列表。但即使这些预防措施还不够 - 它们已被绕过，谁知道下次何时再次出现。在这些日子里，你应该小心。在我看来，最好解决方案是从虚拟机中的 Linux 盒子上网。但这是以牺牲舒适性为代价的。

浏览器中的人是第一大风险。我想说的是，实现更有效的恶意软件交付是次要的。

Browser Exploitation Framework (BeEF) 之类的东西——http: //www.bindshell.net/tools/beef/——应该通过其实现提供更好的解释。

如果可用性归零，人们会找到解决反脚本锁定的方法。如前所述，NoScript 是一个非常好的插件，可以让某些站点运行脚本。

路过式下载对于不成熟的用户来说可能是一个更大的风险。您不需要任何脚本来向用户显示一个虚假的 Flash 媒体播放器，上面写着“需要升级”，并且当用户单击虚假的“播放按钮”时，它会下载他们安装的恶意软件。游戏结束。

并且闪存有许多缓冲区溢出和漏洞。