这听起来与 NoScript 的ClearClick旨在防止的事情有关。（即使您将 NoScript 设置为“全局允许脚本”，该保护也适用）。

如果启用了 javascript，很难说任何事情都没有风险。据我所知，没有好的方法可以判断漏洞可能存在于何处。也就是说，如果您真的担心在页面上突出显示文本而没有风险，我的建议是：a）关闭脚本以防止 onclick 事件发生，b）查看源代码并直接从源代码中复制文本或 c) 如果文本在源中不可用，请使用诸如 firebug 之类的工具，它可以检查 DOM 并将文本直接从 DOM 中提取出来。

一般来说，您不信任的网站上的无脚本只是很好的安全性，尽管有些漏洞甚至不需要与页面直接交互，而只是加载它。

据我所知，唯一的风险可能是您的隐私，因为有一些小部件会将您选择的文本发送回服务器。诸如Ghostery之类的浏览器插件会阻止这些侵入性脚本。

任何用户触发的事件都不会成为问题，而不仅仅是 OnClick？

但与您的问题直接相关的是点击劫持：https ://security.stackexchange.com/search?q=clickjacking