※ 引述《Toge (To Valhalla!)》之铭言： : 推荐用uBlock Origin来挡 : uBlock Origin工具列图示点下去有个齿轮图示按钮 : 点下去进入设定画面这样设定： : 1. 第一页勾选 I am an advanced user : https://imgur.com/QetqLOi.jpg : 2. 第二页除了第三个选项，其余全部勾选 : https://imgur.com/wtxLcUR.jpg : 3. 回到网站画面点工具列图示，这边需要讲解一下，UI写得有点简陋= = : https://imgur.com/3hwwiuy.jpg 补充一下，上面的 1. 基本上是为了 3.， 如果有人只想设定 2. 而不想设定 3.，可以略过 1.。 : 如果你不想了解这UI的话 : 只要把3rd-party scripts和frames设成左边红色就好 : (如图，但上面的3rd-party不要动) : 大部分的网页开出来应该都会正常 : 但Coinhive应该都会挡掉 : 记得！！改完了之後左上角有个锁头的图案 : 那是存档的按钮，要记得按！不然重开浏览器就没了 ...(中间恕删) : 弄完了以後 : 你会发现什麽弹出式视窗啦 : 什麽全萤幕提示啦 : 广告图片和gif啦 : 一切看不到的tracking和恶意套件啦 : 这些平常没办法挡的全部都挡掉了 : 而且网站读取速度也会变快喔 : 当然这需要一点耐心去设定就是了..... : 手机版的Fx和GC也可以喔 uBlock 功能的确非常强大， 而做以上设定也的确可以挡掉非常多东西、让网页快很多。 不过有一点提醒大家， 副作用并没有 Toge 讲的那麽小， 上述设定足以让非常、非常多网页运作不正常。 我简单说明原理： 把 3rd-party (第三方)＠改成红色， 表示要阻挡所有来自与目前网站不同网域的图片， 只有同一网站的图片才允许载入。 很不幸地，以部落格文章为例， 部落客的图片常常是放在图床， 以最知名的 Blogger 来说， 一个位於 xxx.blogspot.tw 的部落格， 其图片如果是放在 Google 相簿，网域可能是 1.bp.blogspot.com， 於是你会看到部落格充满了缺图。 又如 PTT 使用者常贴 imgur 的图， 由於 web 版 PTT 的网域是 webptt.com/cn.aspx?n=， 而 imgur 的网域是 imgur.com， 所以你上 web ptt 也会看到一堆缺图。 第三方图片基本上不太会带来安全风险， 顶多是广告，而广告可以订阅其他广告阻挡规则去挡， 虽然挡不住全部，但至少比较不会影响网页正常运作， 我个人不建议把这项改成红色。 3rd-party-script (第三方脚本) 如果改成红色， 表示要阻挡所有来自与目前网站不同网域的 javascript。 绝大多数的恶意程式码是透过第三方 javascript 插入及执行， 因此这个设定确实可以去除很多安全风险。 不过副作用也是不少， 因为非常多网站在自己的 javascript 常会用到第三方框架， 比如 jQuery 通常会向 ajax.googleapis.com 取得， 这当然也是和原站台不同网域。 如果你把第三方脚本封锁，那些框架就无法载入， 网站原本的程式码没了第三方框架也会完全无法运作， 於是你会发现很多网站功能无法运作， 比如很多 Blogger 部落客会安装外挂产生最近文章、最新评论等等， 会因此通通无法运作。 其他像网站的流量计数器之类也是依赖第三方脚本， 所以这样设定也会让你常看的网页的作者得不到流量， 至於这是好是坏就见人见智了。 如果对安全性有疑虑，封锁第三方脚本最有机会保护你， 但是这也的确可能让很多网站的正常功能无法运作， 而且脚本无法运作不像图片那麽明显可见， 你可能不太容易搞清楚是网站本来就这样还是你的阻挡规则导致。 3rd-party-frame (第三方框架) 如果改成红色， 表示要阻挡所有来自与目前网站不同网域的 frame 或 iframe。 frame 现在已经极少使用， 而 iframe 常用於像是 嵌入 Youtube 影片、Disqus 讨论区或脸书留言外挂， 或外挂脸书按赞、分享至 XXX 按钮等等。 如果你勾了，这些外挂的东西都会消失。 现在大多数浏览器会实施同源政策， 第三方 frame 不太有能力造成安全风险（9/28补充：请见以下讨论）， 顶多是可能有烦人的广告， 但这一样能透过订阅广告阻挡规则去挡。 但话说回来，那些外挂按钮或留言板也未必有那麽重要， 要不要这样设定就见仁见智了。 当然，有经验的使用者还是可以针对需要正常运作的网站设定成开放。 比如把 ajax.googleapis.com、youtube 等加入白名单放行， 或针对你需要的站台特别放行， 做法其实不难，就是在无法正常运作的网页把右边设成灰色或绿色， 但是这些都需要经验，需要对网页运作有相当了解， 不懂的人根本不知道需要把谁加入白名单、应该设灰色或绿色， 它会被 uBlock 作者称之为进阶设定不是没有原因的。 总之，除非你懂或打算现在开始学习， 并且有心理准备、也愿意花时间针对未来可能运作不正常的网页除错， 否则做这些设定前还是三思。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.227.217.175 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1506529108.A.F2A.html 好像不是这样欸XD 参考维基的说明： https://en.wikipedia.org/wiki/Same-origin_policy 就我的理解，同源政策是指： Ａ网域的网页中的脚本（javascript；可以来自Ａ网域本身或内嵌第三方的） 尝试存取被该网页内嵌的来自不同网域的资源会受到限制， 比如无法发送 XMLHttpRequest (AJAX) 请求、 无法存取不同网域的框架页的 DOM、window、location 等等。 至於 object... 首先，至少我目前测试 Firefox 55.*， Ａ网域的网页是可以用 <object> 嵌入来自Ｂ网域的物件而不受限制； 其次，假使真的有这种限制，那也不叫同源政策， 而是叫做内容安全政策（content security policy）。 内容安全政策是指，Ａ网域的网页藉由一些设定， 控制网页中的各种内嵌元素可以来自哪些网域， 若网域不在允许之列就禁止载入。 如果Ａ网站（网域）Ａ的Ｘ网页以 iframe 内嵌了Ｂ网站的Ｙ网页， 假如没有同源政策， Ｙ可以用脚本读取Ｘ的使用者资料，比如 cookie 或 localStorage， 传送到某个地方给骇客接受，骇客有了使用者在Ａ网站的 cookie， 就可以伪造成该使用者登入Ａ网站（不过Ａ网站如有做好安全措施还是有机会挡下）， 然後窃取里面的个资， 如果这使用者是Ａ网站的管理员，那骇客就可以控制整个Ａ网站； 或者Ｙ网页可以用脚本修改Ｘ网页的内容， 比如加上钓鱼连结或显示各种假资讯等等。 相对的，在有同源政策之下， Ｙ网页无法窃取Ｘ网页的资讯，也无法修改Ｘ网页的内容， 基本上很难做什麽攻击。 不过严格来说，被嵌入的Ｙ网页的确还是有可能做一些坏事， 比如自动下载恶意的可执行程式（不过使用者不按执行还是没用）， 或者Ｙ网页可能把自己布置成很像脸书的介面， 伪造理由诈骗使用者输入脸书密码、生日、电邮等资讯（也就是网路钓鱼）， 所以内嵌第三方框架页的确不是100%无风险。 总体而言，安全性是第三方图片＞第三方框架页＞第三方脚本。 对欸，内嵌 Youtube 影片出不来比留言版不显示有感多了XD 感谢分享。借我补上。 ScriptBlock 的所有功能都可以被 uBlock Origin 取代， 除非根本不使用 uBO 的功能，我觉得不太有必要多安装一个套件。 ※ 编辑: danny0838 (1.164.19.182), 09/28/2017 11:58:14 ※ 编辑: danny0838 (1.164.19.182), 09/28/2017 12:01:54