NoScript

about:config

Некоторые ссылки, например: maone.net/viewtopic.*, flashgot.net/viewtopic.*
побились с течением времени, и приведены только во имя справедливости.

ЛКМ = Leftclick, СКМ = Middleclick, ПКМ = Rightclick

capability.policy.maonoscript.sites
— Где плагин NoScript хранит настройки по доверенным и недоверенным сайтам ?
— %profile%/prefs.js -> capability.policy.maonoscript.sites и noscript.untrusted.
Настройка capability.policy.maonoscript.sites блокируется, поэтому из about:config её не видно*,
но можно, например, «посмотреть» на нее из консоли ошибок:
navigator.preference("capability.policy.maonoscript.sites").
   https://forum.mozilla-russia.org/viewtopic…#p369168 Infocatcher
* в SM 2.26 уже́ видно.

extensions.{73a6fe31-595d-460b-a920-fcc0f8843232}.update.enabled;false
Создать, чтобы отключить автообновление.
   https://noscript.net/faq#a2_6

noscript.ABE.disabledRulesetNames
Отключённые наборы правил ABE.
Настройки -> Дополнительно -> ABE -> SYSTEM (например) -> Использовать/Отключить
(Options -> Advanced -> ABE -> %RULESETNAME% -> Enable/Disable)

noscript.ABE.legacyPrompt
Используется для совместимости со старыми версиями Fx/SM, в которых не было notification bar.
   https://forums.informaction.com/viewtopic…#p61747 Giorgio Maone

noscript.ABE.localExtras
Следует рассматривать как дополнение к правилам LOCAL, а также к автоопределению WAN IP.
   https://noscript.net/changelog#2.0.1
   https://forums.informaction.com/viewtopic.php?p=58343#p58343
Вместо добавления адресов к этому параметру можно дописывать их к "Accept from LOCAL"
в наборе правил SYSTEM в Настройках.
   maone.net/viewtopic.php?p=29485#p29485
Можно добавить свой IP и добиться того же эффекта, что и при поставленной галочке
WAN IP, но IP в Настройках отображаться не будет.
   maone.net/viewtopic.php?p=58343#p58343
   https://forums.informaction.com/viewtopic…#p58343

noscript.ABE.notify.namedLoopback
Набор правил SYSTEM перехватывает запросы к 127.0.0.1 для защиты от CSRF и XSS;
и если в hosts есть строки: < 127.0.0.1 bad.site.com >, то будут появляться уведомления ABE.
false — не показывать такие уведомления (всё-равно будут регистрироваться в консоли ошибок).
А для блокировки доменов в hosts лучше использовать 255.255.255.0
   https://noscript.net/changelog#1.9.5.5
   https://hackademix.net/2009/07/01/abe-warnings-everywhere-omg/

noscript.ABE.rulesets.*
Наборы пользовательских правил. Создать строковый параметр с любым именем.
   http://bbs.kafan.cn/thread-1668724-1-1.html 江3如此多娇 (Цзян 3 красотою лѣпа)
   https://forums.informaction.com/viewtopic…#p58253 barbaz
   https://forums.informaction.com/viewtopic.php?p=71579#p71579 barbaz
Примеры правил:
https://noscript.net/faq#qa8_4
Some Sites you Might Want to Protect
http://pastebin.com/jjNQTYPD access2godzilla
https://gist.github.com/jiang3/7886320#file-autoconfig-js-LC410 jiang3
https://docs.google.com/document/…/pub

noscript.ABE.siteEnabled
Настройки -> Дополнительно -> ABE «Разрешать сайтам устанавливать свои наборы правил»
(Options -> Advanced -> ABE "Allow sites to push their own rulesets")
Правила сайта (rules.abe) применяются исключительно на самом сайте. И даже злоумышленно
изменённый файл rules.abe не может быть применён к другим сайтам.
   https://forums.informaction.com/viewtopic.php?p=5969#p5969 Giorgio Maone
   https://noscript.net/abe/web-authors.html

noscript.ABE.skipBrowserRequests
Пропускать (не блокировать) внутренние запросы браузера.
   https://forums.informaction.com/viewtopic…#p66845 Giorgio Maone

noscript.ABE.wanIpAsLocal
Настройки -> Дополнительно -> ABE "WAN IP ..."
(Options -> Advanced -> ABE "WAN IP ...")
Защита маршрутизаторов и Интранет веб-ресурсов от CSRF, DNS rebinding.
addons.mozilla.org/…noscript/privacy/ hackademix.net/abe-patrols-the-routes-to-your-routers/

noscript.ABE.wanIpCheckURL
Адрес, с которого будет запрашиваться WAN IP. Если эта функция нужна, можно подставить адрес
своего сервера вместо https://secure.informaction.com/ipecho/.
   https://hackademix.net/2010/07/28/…#comment-23239

noscript.ajaxFallback.enabled
   https://noscript.net/changelog#2.0.9.9rc1
«Этот параметр просто помогает навигации на некоторых сайтах, которые строго требуют JavaScript.
Даже без включения JavaScript, пустые страницы заменяются их содержимым, предназначенным для
поисковой индексации. Это безобидно (если вы заботитесь о безопасности).»
   https://forums.informaction.com/viewtopic…#p57384 Giorgio Maone
«Некоторые сайты на основе AJAX используют специальный синтаксис строки запроса, чтобы показать
поисковым роботам, что есть способ получить снимок HTML: как будет выглядеть страница после
выполнения AJAX. NoScript может действовать как сканер и использовать это, чтобы собрать всю
страницу без включения JavaScript.»
   https://forums.informaction.com/viewtopic…#p57386 Thrawn

noscript.allowBookmarkletImports
Выполнение внешних скриптов, загрузка которых инициируется букмарклетом или snippet’ом
JavaScript-кода, даже если их источник не внесён в белый список.
   https://forums.informaction.com/viewtopic…#p22909 Giorgio Maone
   http://bbs.kafan.cn/thread-1668724-1-1.html 江3如此多娇

noscript.allowBookmarks
«На лету» разрешать выполнение JS документам верхнего уровня сайтов, открываемых через закладки.
Чтобы example.com попал в белый список, недостаточно добавить его в закладки.
Надо открыть его, используя именно «Закладки», а не адресную строку и не ссылку на странице.
Настройки -> Основные -> «Разрешать сайты, открываемые через закладки»
(Options -> General -> "Allow sites opened through bookmarks")
   https://noscript.net/features#toplevel

noscript.allowCachingObjects
Не блокировать элементы, используемые для предзагрузки JavaScript и CSS контента,
при условии нахождении родителя в белом списке.
   https://noscript.net/changelog#2.1.1.2rc5

noscript.allowClipboard
Настройки -> Дополнительно -> Доверенные
«Расширенные копирование и вставка из внешнего буфера обмена»
(Options -> Advanced -> Trusted "Allow rich text copy and paste from external clipboard")
Нужно, в основном, для работы кнопок «Копировать», «Вырезать», «Вставить» WYSYWYG редакторов.
   https://forums.informaction.com/viewtopic…#p11901
   https://noscript.net/features#extraopts -> Trusted
Начиная с 2.6.8.20 удалено из UI браузеров, не поддерживающих CAPS (Gecko 28 и выше).
   https://noscript.net/changelog#2.6.8.20rc3

noscript.allowHttpsOnly
Настройки -> Дополнительно -> HTTPS -> Разрешения
«Запрещать активное веб-содержимое, за исключением защищённых (HTTPS) соединений:»
0 — «Никогда»
1 — «При использовании прокси»
2 — «Всегда»
(Options -> Advanced -> HTTPS -> Permissions "Forbid active web-content ‹…› connection:")
0 — "Newer"
1 — "When using a proxy"
2 — "Always"

noscript.allowLocalLinks
Настройки -> Дополнительно -> Доверенные «Разрешить локальные ссылки»
(Options -> Advanced -> Trusted "Allow local links")
Позволяет подключить локальные файлы, например изображения, как того требуют некоторые
игровые сайты (в основном ММО игры) для повышения производительности.
Необходимо также разрешить file://
   https://noscript.net/features#toplevel -> Trusted
   https://forums.informaction.com/viewtopic…#p11901 Giorgio Maone
— Можно ли внести в белый список только некоторые локальные файлы?
— Нет.
   flashgot.net/viewtopic.php?p=12182#p12182 Giorgio Maone

noscript.allowPageLevel
«Временно разрешить все скрипты на этой странице»
("Temporarily allow all this page")
Why must I "Temporarily allow all this page" REPEATEDLY? Tom T.
0 — не указано
1 — полный адрес
2 — полный домен
3 — домен второго уровня
   http://bbs.kafan.cn/thread-1668724-1-1.html 江3如此多娇
   https://noscript.net/changelog#1.7.5.4

noscript.allowURLBarImports
Отключено выполнение скриптов не из белого списка, импортированных
во время выполнения JavaScript из адресной строки.
   https://forums.informaction.com/viewtopic.php?f=10&t=6487
   https://noscript.net/changelog#2.1.0.4rc9

noscript.allowURLBarJS
Выполнение скриптов из адресной строки, даже если отображаемая в настоящий момент страница
не в белом списке(то, что NoScript должен эмулировать, иначе это было бы невозможно).
   https://forums.informaction.com/viewtopic…#p22909 Giorgio Maone
   https://noscript.net/changelog#1.4.9.7

noscript.allowWhitelistUpdates
Обновление белого списка при выходе новой версии NoScript,
если он уже был изменён (пользователем, например).
   https://noscript.net/changelog#2.6.9.7
   https://forums.informaction.com/viewtopic.php?p=73373
   https://forums.informaction.com/viewtopic.php?f=7&t=20375

noscript.allowedMimeRegExp
Можно настроить некоторые исключения для запрещённых вложений (например плагинов и фреймов),
автоматически разрешая на всех сайтах определённые типы протоколов.
Если установлено значение "application/pdf application/x-silverlight" —
PDF-документы и Silverlight апплеты загружаются автоматически на каждом сайте.
Типы содержимого разделять пробелом.
Можно ограничить выполнение на некоторых сайтах путем сопоставления MIME-типа с URL’ом контента,
который будет выполнен. Например, если надо разрешать любой Flash ролик с Youtube, понадобится
добавить шаблон "application/x-shockwave-flash@https?://[^/]+\.(?:youtube|ytimg)\.com".
   https://noscript.net/features#pluginexceptions
   https://forums.informaction.com/viewtopic.php?f=23&t=6701
   https://forums.informaction.com/viewtopic…#p72566
   https://forum.mozilla-russia.org/viewtopic…#p683718 turbot (для file://)
   https://forums.informaction.com/viewtopic.php?f=7&t=17879
   http://forums.mozillazine.org/viewtopic…#p3631085 Giorgio Maone

noscript.alwaysBlockUntrustedContent
true — запрещён plugin-контент с сайтов, явно отмеченных как недоверенные (untrusted).
   https://noscript.net/changelog#1.3.2

noscript.alwaysShowObjectSources
Отображать источники объектов в меню разрешений
(помимо строки «Заблокированные объекты» ("Blocked Objects")).
   https://noscript.net/changelog#1.9.9.60
   http://bbs.kafan.cn/thread-1668724-1-1.html 江3如此多娇

noscript.autoAllow
«На лету» временно разрешать скрипты документов верхнего уровня, за исключением отмеченных
как недоверенные. Документы верхнего уровня выделены жирным шрифтом в меню разрешений.
Настройки -> Основные «Временно разрешать документы верхнего уровня по умолчанию»
1 — «Полные адреса (http://www.noscript.net)»
2 — «Полные домены (www.noscript.net)»
3 — «Базовые домены 2-го уровня (noscript.net)»
(Options -> General "Temporarily allow top-level sites by default")
1 — "Full Adresses (http://www.noscript.net)"
2 — "Full Domains (www.noscript.net)"
3 — "Base 2nd level Domains (noscript.net)"
0 — не разрешать
   https://noscript.net/features#toplevel

noscript.autoReload
Включает/отключает автоперезагрузку при любом действии.
Настройки -> Основные «Автоматически обновлять зависимые страницы при измененнии разрешений»
(Options -> General "Automaticaly reload affected pages when permissions change")
   https://noscript.net/faq#qa5_2

noscript.autoReload.allTabs
false — при изменении разрешений перезагружается только активная вкладка.
   https://noscript.net/faq#qa5_2
   https://noscript.net/features#hiddenprefs

noscript.autoReload.allTabsOnGlobal
false — перезагружается только активная вкладка при глобальном разрешениии скриптов в Настройках.
(Белый список «Глобальное разрешение скриптов (опасно)»
(Whitelist "Scripts Globally Allowed (dangerous)")).
   https://noscript.net/faq#qa5_2

noscript.autoReload.allTabsOnPageAction
false — перезагружается только активная вкладка при использовании команд массовой смены
разрешений (например: «Разрешить все скрипты на этой странице» ("Allow all this page")).
   https://noscript.net/faq#qa5_2

noscript.autoReload.embedders
Автоперезагрузка вложений страниц при изменении разрешений.
0 — не перезагружать.
1 — наследовать значения "noscript.autoReload".
2 — обязательно перезагружать.
   https://noscript.net/changelog#1.9.9.98rc1

noscript.autoReload.global
Включает/отключает автоперезагрузку при глобальном разрешении скриптов в
Настройки -> Белый список «Глобальное разрешение скриптов (опасно)»
(Options -> Whitelist "Scripts Globally Allowed (dangerous)")
   https://noscript.net/faq#qa5_2
   https://noscript.net/features#hiddenprefs

noscript.autoReload.useHistory
«Использование внутрибраузерного эквивалента history.go(0), чтобы сделать чтобы сделать
как можно больше из кэша».
   http://forums.mozillazine.org/viewtopic…#p5708075 Giorgio Maone

noscript.badInstall
«Значение изменяется само при фатальной проблеме XPCOM компонента
Components.classes["@maone.net/noscript-service;1"]» barbaz

noscript.bgThumbs.allowed
Отдельный фоновый процесс создания миниатюр.
   https://noscript.net/changelog#2.6.9.5

noscript.bgThumbs.disableJS
Включение JavaScript в фоновом процессе создания миниатюр.
   https://noscript.net/changelog#2.6.9.5

noscript.blockCssScanners
Устаревшая настройка. Экспериментальная защита от getComputedStyle() history sniffing.
   https://noscript.net/changelog#1.5.9

noscript.blockNSWB
Устаревшая настройка. Блокировка Web bugs. Удалена в v 2.2.4rc1.
   http://forums.mozillazine.org/viewtopic…#p2984837
   https://forums.informaction.com/viewtopic.php?p=33321#p33321

noscript.canonicalFQDN
Управление канонизацией доменов (Fully Qualified Domain Name), заканчивающихся точкой.
Работает только если NoScript может выполнять запросы DNS (т.е. не используется прокси).
   https://forums.informaction.com/viewtopic.php?p=4463#p4463
   https://noscript.net/changelog#1.2.9.6
   https://lurkmore.to/Канонічно

noscript.cascadePermissions (2.6.8.26)>
Если true: пользователь сможет разрешить/запретить ВСЕ скрипты на странице (в том числе и
во вложенных документах), переключив разрешение документа верхнего уровня.
Чтобы избежать путаницы, в меню разрешений будет показано разрешение только для
документа верхнего уровня (в настоящее время выделен жирным шрифтом).
  Если false: сохраняется текущее поведение, позволяющее запрещать/разрешать скрипты
в зависимости от их происхождения.
  В любом случае, скрипты, внесённые в noscript.untrusted, будут заблокированы.
  «Эти функции добавляются по желанию проекта TOR, полезны для пользователей TOR Browser и,
возможно, для некоторых постоянных пользователей NoScript.»
В 2.6.8.31 внесено в Настройки -> Дополнительно -> Доверенные
«Каскадное разрешение скриптов третьей стороны»
(Options -> Advanced -> Trusted "Cascade top document’s permissions ‹…›").
   https://forums.informaction.com/viewtopic…#p69787 Giorgio Maone

noscript.clearClick
https://noscript.net/changelog#1.8.2
https://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking/
Чтиво про кликджекинг: 1, 2.
1 — на недоверенных.
2 — на доверенных.
3 — везде.
0 — выключен.

noscript.clearClick.plugins
ClearClick для встроенных плагинов. Plugin content и фреймы насильственно делаются
непрозрачными. Если размер превышает видимую область, то появляется полоса прокрутки.
   https://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking/

noscript.clearClick.rapidFireCheck
Против Double-clickjacking (пользователь через запрос злоумышленника перенаправляется
на авторизацию у OAuth-провайдеров. Rapid fire check.pdf).
   https://noscript.net/changelog#2.1.2.4rc2
   https://hackademix.net/2011/07/11/fancy-clickjacking-tougher-noscript/

noscript.clearClick.subexceptions
Источники встроенного контента, которые не должны быть защищены ClearClick.
   https://noscript.net/changelog#1.9.1.8
   https://forums.informaction.com/viewtopic…=35429

noscript.clearClick.threshold
Пороговое процентное значение сравнения снимков того, что видит пользователь и
элементов содержимого страницы по отдельности (без наложений слоёв).
   https://noscript.net/changelog#2.3.9
   https://noscript.net/faq/#clearclick

noscript.collapseObject
Настройки -> Встроенные объекты -> «Сворачивать заблокированные объекты»
(Options -> Embeddings -> "Collapse blocked objects")

noscript.confirmSiteInfo
false — При нажатии СКМ на любой строке меню разрешений не показывать окошко с чекбоксом
«Вы собираетесь узнать информацию о сайте ‹…› Продолжить?»
("Yu’re about to ask information ‹…› Do you want to continue?").
   https://forums.informaction.com/viewtopic…#p48084 mjh563

noscript.confirmUnblock
Настройки -> Встроенные объекты -> «Подтверждать временную разблокировку объекта»
(Options -> Embeddings -> "Ask for confirmation before temporarily unblocking an object")

noscript.confirmUnsafeReload
Показывать окно подтверждения при небезопасной (XSS) перезагрузке.
   http://forums.mozillazine.org/viewtopic…#p5985695

noscript.consoleDump;1
noscript.consoleLog;true
Отображать в консоли ошибок срабатывание и блокировку скриптов (не только ABE).
«Предупреждение: это может быть помехой, влияющей на
производительность просмотра.» Giorgio Maone
   https://forums.informaction.com/viewtopic.php?f=7&t=5261
   https://forums.informaction.com/viewtopic.php?p=71950#p71950

noscript.contentBlocker
Настройки -> Встроенные объекты «Применять эти ограничения и для доверенных сайтов»
(Options -> Embeddings -> "Apply these restrictions to whitelisted sites too")
(блокировать Java, Flash и другие плагины)
   https://noscript.net/changelog#1.1.4.8.070425

noscript.cp.last
true гарантирует, что NoScript сработает после ABP.
false — случайный порядок.
   https://forums.informaction.com/viewtopic…#p8950
«Это сделано по многочисленным просьбам, чтобы заблокированное ABP не отображалось
placeholder’ом NoScript.
Я согласен, что это может быть весьма неэффективно, так как ABP фильтры медленнее, чем
блокировки NoScript, но как только один объект блокируется ABP, он не отображается NoScript
(раньше было наоборот).
Однако вы можете вернуться к старому поведению, переключив noscript.cp.last в false
и перезагрузить браузер.»
   http://forums.mozillazine.org/viewtopic…#p5130455 Giorgio Maone
По умолчанию, NS всегда приходит последний: это было введено несколько лет назад (2011),
чтобы позволить пользователям ABP увидеть среди «блокируемых объектов» ABP скрипты, которые
позже будут заблокированы NoScript’ом . Если false, порядок блокировки будет зависеть от
порядка регистрации компонентов, что не всегда очевидно.
   https://forums.informaction.com/viewtopic…#p36488

noscript.ctxMenu
Настройки -> Внешний вид «Пункт в контекстном меню» (Options -> Appearance "Contextual menu")

noscript.default
Белый список по умолчанию, при экспорте настроек не отражается в сохраняемом файле.

noscript.docShellJSBlocking
0 — не блокировать docShellJS.
1 — блокировать на недоверенных.
2 — блокировать везде, кроме белого списка (позволяет наследовать cross-frame блокировку JS).
   https://noscript.net/changelog#1.7.2

noscript.doNotTrack.enabled
Аналог настройки браузера «Я не хочу чтобы меня отслеживали» был сделан для Fx 3.*, где этой
настройки не было. "true" имеет преимущество перед настройкой Fx/SM «Не сообщать веб-сайтам
о моей настройке отслеживания». Если в Fx/SM отмечено «Я не хочу чтобы меня отслеживали»,
то "false" в NS будет игнорироваться.
   https://forums.informaction.com/viewtopic…#p38959 Tom T.
   https://hackademix.net/2010/12/28/x-do-not-track-support-in-noscript/

noscript.doNotTrack.exceptions
Список URL’ов, которым не отправляется сообщение "Do Not Track".
   https://hackademix.net/2010/12/28/x-do-not-track-support-in-noscript/
   http://bbs.kafan.cn/thread-1621404-1-1.html 462588842
   https://forums.informaction.com/viewtopic…#p38975 Giorgio Maone

noscript.doNotTrack.forced
Список URL’ов, которым отправляется сообщение "Do Not Track", даже если они есть в исключениях.
   https://hackademix.net/2010/12/28/x-do-not-track-support-in-noscript/
«Проблема с этим подходом заключается в том, что если пользователь активирует настройки
браузера «Я не хочу чтобы меня отслеживали», NS настройки exceptions и forced сайтов
не работают (потому что Firefox всегда будет добавлять заголовок DNT 1).»
   https://forums.informaction.com/viewtopic.php?p=38994#p38994 Giorgio Maone
   http://bbs.kafan.cn/thread-1621404-1-1.html 462588842

noscript.ef.enabled
Настройки -> Дополнительно -> Внешние фильтры «Использовать внешние фильтры»
("Options -> Advanced -> External filters "Enable external filters")
   https://noscript.net/changelog#1.9.9.70
В 2.6.8.13 из Настроек убрали этот пункт, поскольку Blitzableiter заглох.
https://forums.informaction.com/viewtopic.php?f=10&t=8582

noscript.emulateFrameBreak
Отключение JavaScript с использованием настроек вашего браузера фактически нарушает защиту
анти Clickjacking на основе JavaScript, возможно развёрнутую на целевом сайте.
true — эмуляция "frame busting" для фреймов, где JS отключён.
   https://noscript.net/changelog#1.8.2
   https://noscript.net/faq#qa7_5

noscript.eraseFloatingElements
Удерживая нажатую ЛКМ на абсолютно позиционированном элементе страницы и нажав клавишу DEL
на клавиатуре, можно его удалить, если скрипты отключены (убить на странице всплывающие окна).
false — отключить эту функцию.
   https://noscript.net/#news

noscript.excaps
Для разрешения CAPS конфликтов, например с расширениями Google, локальными ссылками.
   https://noscript.net/changelog#1.1.4.5.070127
   https://forums.informaction.com/viewtopic.php?p=70688

noscript.exportDir
Путь к файлу с экспортированными настройками.

noscript.fakeScriptLoadEvents.*
По умолчанию, фейковыми скриптами подменяются только скрипты, запускаемые по инициативе
Require.js, но более гибкое осуществление события загрузки можно полностью настроить:
  .enabled — on/off
  .onlyRequireJS — true (по умолчанию) применяется только к скриптам,
инициированным Require.js
  .exceptions — адреса исходных скриптов, при блокировке которых,
не должны вызываться фейковые события загрузки
  .docExceptions — адреса исходных скриптов, при блокировке которых,
должны вызываться неподдельные события загрузки.
   https://noscript.net/changelog#2.6.8.24

noscript.filterXExceptions
Настройки -> Дополнительно -> XSS «Исключения анти-XSS защиты»
(Options -> Advanced -> XSS "Anti-XSS Protection Exceptions")
Исключения из XSS фильтров для некоторых «доверенных» адресов,
требующих сложных кросс-сайтовых запросов.
   https://noscript.net/faq#qa4_4
   https://noscript.net/features#xssopts
   https://noscript.net/changelog#1.1.4.6.070321

noscript.filterXGet
Настройки -> Дополнительно -> XSS «Фильтровать подозрительные межсайтовые запросы»
(Options -> Advanced -> XSS "Sanitize cross-site suspicious requests")
Подозрительными считаются запросы от недоверенных источников, возможно содержащие HTML или JS
инъекции, к доверенным разрешённым или временно разрешённым.
   https://noscript.net/features#xssopts

noscript.filterXGetRx
Анти-XSS фильтр, применяющийся к запросам от неизвестных (ограниченных) сайтов.
Работает, частично заменяя «небезопасные» части URL «безопасными» эквивалентами
с помощью регулярного выражения.
   https://noscript.net/changelog#1.1.4.6.070318
   https://forums.informaction.com/viewtopic…#p79513 barbaz

noscript.filterXPost
Настройки -> Дополнительно -> XSS «Заменять межсайтовые POST-запросы на GET-запросы без данных»
(Options -> Advanced -> XSS "Turn cross-site POST ‹…› requests")
   https://noscript.net/features#xssopts

noscript.firstRunRedirection
Настройки -> Уведомления «Показывать примечания к релизу при обновлениях»
(Options -> Notifications "Display the release notes from updates")
   https://noscript.net/faq#qa2_5

noscript.fixLinks
Настройки -> Дополнительно -> Недоверенные «Пытаться исправить JavaScript-ссылки»
(Options -> Advanced -> Untrusted "Attempt to fix JavaScript links")
На недоверенных сайтах NoScript будет пытаться превратить javascript: ссылки в обычные ссылки.
   https://noscript.net/features#extraopts -> Untrusted

noscript.fixURI.exclude
Список протоколов, разделённых пробелами, которые не должны быть экранированы NoScript,
   https://noscript.net/changelog#1.1.6.13
например:
^custombutton://
   https://forum.mozilla-russia.org/viewtopic.php?pid=235967#p235967 Infocatcher
e2dk
   http://forums.mozillazine.org/viewtopic…#p3375377 Giorgio Maone

noscript.forbidActiveContentParentTrustCheck
Защита от Flash XSS.
Флэш-апплеты, происходящие из доверенных сайтов (например фильмы youtube.com) заблокированы,
если встроены на недоверенных сайтах. Можно активировать эти объекты без внесения страницы
в белый список, просто нажав на placeholder NoScript.
   https://noscript.net/faq#qa4_7
   https://noscript.net/features#contentblocking

noscript.forbidBGRefresh
Блокировка обновления вкладок не в фокусе (tabnapping protection)
0 — не блокировать.
1 — блокировать обновление вкладок с недоверенными.
2 — блокировать обновление вкладок с доверенными.
3 — блокировать обновление и тех и других.
   https://noscript.net/changelog#1.9.9.81

noscript.forbidFonts
Настройки -> Встроенные объекты «Запретить @font-face»
(Options -> Embeddings "Forbid @font-face")
Блокируются веб-шрифты из недоверенных источников и на недоверенных страницах.
   https://noscript.net/changelog#1.9.9.10
Исключения делать с помощью noscript.allowedMimeRegExp
   https://noscript.net/features#pluginexceptions

noscript.forbidIFramesContext
0 — блокировать все iframe.
1 — блокировать, если родительский элемент с другого сайта.
2 — блокировать, если родительский элемент с другого домена.
3 — блокировать, если родительский элемент с другого домена второго уровня.
   https://noscript.net/faq#qa4_8
   https://noscript.net/changelog#1.1.7.4

noscript.forbidIFramesParentTrustCheck
IFRAMEs, происходящие из доверенных сайтов заблокированы, если встроены
на недоверенных сайтах.

noscript.forbidImpliesUntrust
true — при использовании «Запретить somesite.com», somesite.com автоматически помечаются
как недоверенные, а не просто исчезают из белого списка.
   http://forums.mozillazine.org/viewtopic.php?p=5678135#p5678135 Giorgio Maone
   https://noscript.net/changelog#1.1.4.5.070127

noscript.forbidMedia
Блокировка HTML5, независимая(!) от Настройки -> Встроенные объекты «Запретить другие плагины»
(Options -> Embeddings "Forbid other plugins").
   https://noscript.net/changelog#1.9.9.10

noscript.forbidMetaRefresh
Настройки -> Дополнительно -> Недоверенные
«Запретить META перенаправления внутри элементов <NOSCRIPT>»
(Options -> Advanced -> Untrusted "Forbid META redirections inside <NOSCRIPT> elements")
META перенаправления часто используются для отправки пользователя на страницу с сообщением
«Пожалуйста включите JavaScript».
   https://noscript.net/features#extraopts -> Untrusted

noscript.forbidMetaRefresh.remember
Запоминание разрешения/запрещения META перенаправлений на текущую сессию.
   https://noscript.net/changelog#1.1.4.8RC1
   http://forums.mozillazine.org/viewtopic.php?p=2848886#p2848886

noscript.forbidMixedFrames
Если IFRAMEs запрещены, то вложенные в них FRAMEs тоже запрещены.
   https://noscript.net/changelog#1.8.2.2

noscript.forbidXBL
0 — разрешить все XBL.
1 — разрешить доверенные и data XBL на любом сайте.
2 — разрешить доверенные и data XBL на доверенных сайтах.
3 — разрешить только доверенные XBL на доверенных сайтах.
4 — разрешить только доверенные XBL с того же сайта или chrome.
5 — разрешить только chrome XBL.
   https://noscript.net/changelog#1.1.8.5

noscript.forbidXHR
0 — разрешить любые XHR.
1 — разрешить межсайтовые XHR только через доверенные сайты.
2 — разрешить XHR только с того же сайта.
3 — запретить все XHR.
   https://noscript.net/changelog#1.4.9.4

noscript.frameOptions.enabled
Заголовки X-FRAME-OPTIONS не должны быть проигнорированы.
   https://hackademix.net/2009/12/02/…x-frame-options/
   https://noscript.net/changelog#1.9.9.03
Если появляется окно «This content cannot be displayed in a frame», то переключить в false.
   https://forums.informaction.com/viewtopic…#p29006

noscript.frameOptions.parentWhitelist
Исключения некоторых родительских окон из X-Frame-Options проверки встроенных фреймов.
   https://noscript.net/changelog#1.9.9.03
   https://hackademix.net/2009/12/02/google-talk-badges-vs-x-frame-options/

noscript.global
Настройки -> Белый список «Глобальное разрешение скриптов (опасно)»
(Options -> Whitelist "Scripts Globally Allowed (dangerous)")
При переключении через config, а не через Настройки, требуется перезапуск.
Отмеченные как «Недоверенные» не разрешаются.
«Другими словами, вы используете режим "Черный список". Это как YesScript, но с гораздо более
широкими возможностями защиты (анти-XSS, анти-ClickJacking, ABE и так далее).»
   https://forums.informaction.com/viewtopic…#p13058 Giorgio Maone

noscript.globalHttpsWhitelist
Настройки -> Дополнительно -> HTTPS -> Разрешения
«Разрешить все HTTPS скрипты в HTTPS документах»
(Options -> Advanced -> HTTPS -> Permissions
"Allow HTTPS scripts globally on HTTPS documents")

noscript.globalwarning
Появление предупреждения при выборе пункта меню разрешений
«Разрешить скрипты глобально (опасно)» ("Allow Scripts Globally (dangerous)").

noscript.hoverUI
Настройки -> Основные -> «Открывать меню разрешений при наведении мыши на значок NoScript»
(Options -> General -> Open permissions menu when mouse howers over NoScript’s icon)

noscript.hoverUI.excludeToggling
Настройки -> Основные -> «Нажатием на значок переключать разрешение
документа верхнего уровня активной вкладки»
(Options -> General -> "Left clicking on NoScript toolbar button ‹…› site")
   https://noscript.net/changelog#2.0.9rc3
   https://forums.informaction.com/viewtopic.php?p=25322#p25322

noscript.httpsDefWhitelist
Автоматическое использование https для сайтов из noscript.default,
если скрипты этих сайтов разрешены в данный момент.
   https://noscript.net/changelog#2.9.0.5
   https://noscript.net/changelog#2.9.0.6

noscript.httpsForced
Настройки -> Дополнительно -> HTTPS -> Поведение
«Заставлять указанные сайты использовать безопасное (HTTPS) соединение:»
(Options -> Advanced -> HTTPS -> Behavior
"Force the following sites to use secure (HTTPS) connections:")
   https://noscript.net/faq#qa6_3

noscript.httpsForcedBuiltIn
Встроенный список применения https.
   https://noscript.net/changelog#2.6.9.6rc3

noscript.httpsForcedExceptions
Настройки -> Дополнительно -> HTTPS -> Поведение «Не принуждать ‹…› для сайтов:»
(Options -> Advanced -> HTTPS -> Behavior "Never force ‹…› sites:")
   https://noscript.net/faq#qa6_3

noscript.https.showInConsole
Отображать в консоли загрузку страниц с заголовком "Strict-Transport-Security"
(например: [NoScript HTTPS] FORCED SECURE on https://noscript.net )
и срабатывания noscript.httpsForced, при попытке перейти на эти адреса по http://
(например: [NoScript HTTPS] Forced URI https://ip-check.info/?foundHTTPS=true,
если ip-check.info внесён в список noscript.httpsForced).

noscript.ignorePorts
true — домены, разрешаемые вручную, всегда подразумевают адреса с портами.
Этот параметр не работает.
   https://noscript.net/changelog#1.9.9.51

noscript.inclusionTypeChecking
Проверка соответствия Content-Type, указанного для 3rd party файлов, их содержимому.
   https://noscript.net/changelog#1.9.6.5
   https://forums.informaction.com/viewtopic…#p19315 Giorgio Maone

noscript.inclusionTypeChecking.checkDynamic
Включает / отключает проверку URL-адресов, которые, по-видимому, являются
server-side скриптами (например "application/unknown" или содержимым в текстовом виде).
   https://forums.informaction.com/viewtopic…#p19309

noscript.injectionCheck
Обнаружение XSS инъекций в GET запросы.
0 - никогда не проверять.
1 - проверять межсайтовые запросы от временно разрешённых сайтов.
2 - проверять все межсайтовые запросы.
3 - проверять все запросы.
«…если вы используете одно из этих неразборчивых мест, называемых "социальные веб-сайты",
и вы хотите защитить свой профиль или другие данные, хранящиеся на этом сайте и которые
вы считаете ценными, от других пользователей того же сообщества, то установка injectionCheck 3
может быть хорошей идеей.»
   http://forums.mozillazine.org/viewtopic…#p3049878 Giorgio Maone
   https://noscript.net/changelog#1.1.4.9
   https://noscript.net/features#injections

noscript.jsHack
JS, выполняющийся до загрузки страницы, чтобы добавить недостающие функции, например:
window.name https://stackoverflow.com/questions/…25168080
window.top http://forums.mozillazine.org/viewtopic…#p4366215
http://forums.mozillazine.org/viewtopic…#p4393645
window.urchinTracker http://forums.mozillazine.org/viewtopic…#p4264335
   https://noscript.net/changelog#1.1.9.8

noscript.jsredirectFollow
true — если в странице верхнего уровня одна единственная JavaScript ссылка,
то произойдёт автопереход по ссылке, и мы предполагаем что это JavaScript перенаправление.
default — false, поскольку это может быть использовано для принудительного перенаправления
пользователей NoScript, запрещающих JavaScript на определённой странице, на другую страницу.
   https://noscript.net/features#hiddenprefs

noscript.jsredirectForceShow
Всегда отображать JS адреса переходов внизу страницы, независимо от видимого контента.
   http://forums.mozillazine.org/viewtopic…#p3047914

noscript.jsredirectIgnore
false — любые невидимые ссылки или кнопки вынуждены будут отображаться,
если не присутствует, по крайней мере, один навигационный элемент.
true — отключает поиск и отображение JavaScript ссылок на страницах,
не входящих в белый список и не содержащих никаких обычных ссылок.
(тест — evil.hackademix.net/test/empty/form.html)
   https://noscript.net/faq#qa3_17
   https://noscript.net/features#hiddenprefs
«Всякий раз, когда загружается недоверенная страница, NoScript проверяет
используемые ссылки и, если нет никаких обычных ссылок, он пытается "делать вывод",
что JavaScript ссылки используются для перенаправления, и отображает их как обычные ссылки.
Это удобно использовать на страницах, содержащих только перенаправления JavaScript
или Flash intro, дабы избежать использования JavaScript только для того чтобы зайти на сайт.»
   http://forums.mozillazine.org/viewtopic…#p3291387 Giorgio Maone

noscript.keys.tempAllowPage
Настройка сочетания клавиш «Временно разрешить все скрипты на этой странице»
("Temporarily allow all this page").
   https://forums.informaction.com/viewtopic.php?f=7&t=7666
   https://noscript.net/changelog#2.1.6

noscript.keys.revokeTemp
Настройка сочетания клавиш «Отменить временные разрешения»
("Revoke Temporary Permissions").
   https://forums.informaction.com/viewtopic.php?f=7&t=7666
   https://noscript.net/changelog#2.1.6

noscript.liveConnectInterception
Java пакеты, предоставляемые LiveConnect недоступны там, где заблокирована Java.
   https://forums.informaction.com/viewtopic.php?f=7&t=5397

noscript.lockPrivilegedUI
Заблокировать настройки от переключения DOM инспектором и консолью ошибок
(добавляется в *.cfg).
   https://noscript.net/changelog#1.1.8.3
   https://hackademix.net/2007/12/05/plugin-security-plug-insecurity/#comment-2209

noscript.logDNS
true — логирование запросов в файле профиля noscript_dns.log.
Может отрицательно влиять на производительность.
   https://forums.informaction.com/viewtopic.php?p=15300#p15300 Giorgio Maone

noscript.mandatory
«Обязательная» часть белого списка (chrome, about и т.д.). Редактируется в about:config, но не
в Настройках. После изменения необходима перезагрузка браузера.
   https://trac.torproject.org/projects/tor/ticket/3976#comment:11 ma1
   https://noscript.net/faq#qa1_5
   HowTo stop resource leak with NoScript

noscript.menuAccelerators
Вкл/выкл отображение сочетания клавиш в пунктах меню разрешений
«(Временно) разрешить все скрипты на этой странице» ("(Temporary) allow all this page").
   https://noscript.net/changelog#2.1.6
   https://forums.informaction.com/viewtopic.php?f=7&t=7666 Tom T.

noscript.middlemouse_temp_allow_main_site
СКМ на значке NS
true — «Временно разрешить все скрипты на этой странице» ("Temporarily allow all this page").
false — ничего не делать.
   https://forums.informaction.com/viewtopic.php?f=7&t=20319

noscript.noping
Настройки -> Дополнительно -> Недоверенные «Запретить использование <A PING…>»
(Options -> Advanced -> Untrusted "Forbid <a ping…>")
   https://forums.informaction.com/viewtopic.php?p=71857#p71857 barbaz
   http://kb.mozillazine.org/Browser.send_pings#Background

noscript.nosniff
Контролировать (true) или нет (false) выполнение "X-Content-Type-Options: nosniff".
   https://noscript.net/changelog#2.0.4
   https://forums.informaction.com/viewtopic.php?p=22992#p22992

noscript.notify
Настройки -> Уведомления «Отображать сообщения о заблокированных скриптах»
(Options -> Notifications "Show message about blocked scripts")
Обсуждение количества заблокированных скриптов в уведомлении

noscript.notify.hide
Настройки -> Уведомления «Скрывать сообщения после X секунд»
(Options -> Notifications "Hide after X seconds")

noscript.notify.hidePermanent
true — при возврате на вкладку не показывать ещё раз сообщения о заблокированных
скриптах, если они были скрыты (нажатием на крестик или по истечении X секунд).

noscript.nselForce
Настройки -> Дополнительно -> Доверенные «Показывать элемент <NOSCRIPT>,
который следует за заблокированным <SCRIPT>
(Options -> Advanced -> Trusted "Show the <NOSCRIPT> element ‹…›")
Отображение ближайшей замены содержимого заблокированных 3rd party тегов script, даже если
разрешены скрипты документа верхнего уровня (main page).
   https://noscript.net/features#extraopts -> Trusted

noscript.nselNever
Настройки -> Дополнительно -> Недоверенные «Скрывать элементы <NOSCRIPT>
("Options -> Advanced -> Untrusted "Hide <NOSCRIPT> elements")
true — скрывать содержимое контейнера <NOSCRIPT>, которое должно отображаться если
запрещены скрипты.
   https://noscript.net/features#extraopts -> Untrusted

noscript.opacizeObject
Устаревшая настройка. «Изменять прозрачность встроенных объектов на страницах...»
1 — недоверенных
2 — доверенных
3 — доверенных и недоверенных
0 — не изменять

noscript.options.tabSelectedIndexes
Последняя открытая вкладка в Настройках, например:
0,0,0 — Основные (General)
1,0,0 — Белый список (Whitelist)
5,4,0 — ABE (если с ABE переключаться на другую вкладку, вторая цифра не меняется,
        например: 0,4,0 для Основных)

noscript.placeholderCollapseOnClose
false — при скрытии заблокированного элемента его место не заполняется другим содержимым.
Настройки -> Встроенные объекты «Сворачивать заблокированные объекты»
(Options -> Embeddings "Collapse blocked objects")

noscript.placeholderLongTip
Должны ли подсказки у заблокированных объектов включать строки запроса и хэш-фрагменты.
   https://noscript.net/changelog#2.0.9.9rc1

noscript.placeholderMinSize
Размер меньшей стороны свёрнутых заблокированных объектов.

noscript.preset
Устаревшая настройка. Предустановка уровня защиты: off, low, medium, high.

noscript.proxiedDNS
«— Я использую NoScript с анонимным прокси.
Каким должно быть значение noscript.proxiedDNS, чтобы избежать утечки DNS?
— 0 наиболее строгие ограничения, это означает что NoScript не пытается выполнять
какие-либо разрешения DNS, если подключение идет через прокси.
1 предотвращение прямого разрешения DNS, если вы используете прокси SOCK5.
2 выполняет DNS-запросы когда это необходимо, независимо от настройки прокси-сервера».
   https://forums.informaction.com/viewtopic…#p4458 Giorgio Maone

noscript.recentlyBlockedCount
Количество отображаемых «Недавно заблокированных сайтов» ("Recently blocked sites").
   http://bbs.kafan.cn/thread-1621404-1-1.html 462588842

noscript.recentlyBlockedLevel
Как отображать «Недавно заблокированные сайты» ("Recently blocked sites")
0 — не указано
1 — полные адреса  http://www.123.com/
2 — полные домены  www.123.com
3 — базовые домены 123.com
   http://bbs.kafan.cn/thread-1668724-1-1.html#post_30228155 江3如此多娇

noscript.removalWarning
Предупреждение о понижении уровня безопасности (Security Downgrade Warning)
при отключении или удалении NoScript.
С v 2.6.5 предлагается режим чёрного списка, чтобы сохранить меры защиты
не связанные с блокировкой скриптов.

noscript.removeSMILKeySniffer
Защита от scriptless SVG-based keylogging.
   https://noscript.net/changelog#2.2.2rc1
   http://bbs.kafan.cn/thread-1621404-1-1.html 462588842
   https://forums.informaction.com/viewtopic.php?f=10&t=5920 al_9x

noscript.requireReloadRegExp
Быстрая перезагрузка при разрешении указанных плагинов.
   https://noscript.net/changelog#1.7.5.1

noscript.restrictSubdocScripting (2.6.8.26)
Если true, то скрипты, даже внесённые в белый список, не могут быть запущены и загружены
во FRAMEs и IFRAMEs, чьи родители не из белого списка.
Если false, то сохраняются правила загрузки и запуска скриптов только в зависимости от
наличия этих скриптов в белом списке и независимо от наличия родителей вложенных документов
в белом списке.
«Эти функции добавляются по желанию проекта TOR, полезны для пользователей TOR Browser и,
возможно, для некоторых постоянных NoScript пользователей.»
В 2.6.8.31 внесено в Настройки -> Дополнительно -> Недоверенные
«Блокировать скрипты из белого списка в субдокументах не из белого списка»
(Options -> Advanced -> Untrusted "Block scripting ‹…› pages")
   https://forums.informaction.com/viewtopic…#p69787 Giorgio Maone

noscript.safeJSRx
По умолчанию предотвращается выполнение JavaScript с привилегиями chrome
(https://www.mozilla.org/en-US/security/…#firefox3.5.2).
Регулярное выражение позволяет определённым скриптам «обойти» это ограничение.
   https://noscript.net/changelog#1.1.6.18
   http://forums.mozillazine.org/viewtopic…#p3034091 Giorgio Maone
   https://forums.informaction.com/viewtopic…#p79513 barbaz

noscript.sanitizePaste
Дополнительная очистка HTML при вставке форматированного текста в
контент-редактируемые элементы.
   https://noscript.net/changelog#2.6.9.16

noscript.secureCookies
Настройки -> HTTPS -> Cookies «Автоматическая система управления безопасностью куки»
(Options -> HTTPS -> Cookies -> "Enable Automatic Secure Cookies Management")
К заголовкам Set-Cookie «на лету» добавляется недостающий атрибут Secure.
   https://noscript.net/faq#qa6_4
   https://hackademix.net/2008/09/10/noscript-vs-insecure-cookies/

noscript.secureCookies.perTab
Небезопасные печеньки могут быть обработаны или глобально, или только на вкладке.
   https://noscript.net/changelog#1.8.1.2

noscript.secureCookiesExceptions
Исключения из noscript.secureCookiesForced. Адреса сайтов писать через пробел.
Настройки -> HTTPS -> Cookies -> Автоматическая система управления безопасностью куки
«Игнорировать небезопасные куки ‹…› следующих сайтов:»
(Options -> HTTPS -> Cookies -> Enable Automatic Secure Cookies Management
"Ignore unsafe cookies ‹…› sites:")
   https://noscript.net/faq#qa6_4

noscript.secureCookiesForced
Настройки -> HTTPS -> Cookies -> Автоматическая система управления безопасностью куки
«Использовать шифрование для ‹…› следующих сайтов:»
(Options -> HTTPS -> Cookies -> Enable Automatic Secure Cookies Management
"Force encryption for ‹…› sites:")
Адреса сайтов писать через пробел.
   https://noscript.net/faq#qa6_4

noscript.showAddress
Настройки -> Внешний вид «Полные адреса (http://www.noscript.net)»
(Options -> Appearance "Full Adresses (http://www.noscript.net)")

noscript.showAllowPage
Настройки -> Внешний вид «Разрешить все скрипты на этой странице»
(Options -> Appearance "Allow all this page")
Не относится к заблокированным объектам, только к скриптам.

noscript.showBaseDomain
Настройки -> Внешний вид «Базовые домены 2-го уровня (noscript.net)»
(Options -> Appearance "Base 2nd level Domains (noscript.net)")

noscript.showBlankSources
true — отображение about:blank в меню разрешений в качестве вторичного источника
(noscript.net/faq#qa1_9, en.wikipedia.org/wiki/WYCIWYG).
   https://noscript.net/changelog#1.9.9.70

noscript.showDistrust
Настройки -> Внешний вид «Отметить [...] как Недоверенный»
(Options -> Appearance "Mark [...] as Untrusted")

noscript.showDomain
Настройки -> Внешний вид «Полные домены (www.noscript.net)»
(Options -> Appearance "Full Domains (www.noscript.net)")

noscript.showPlaceholder
Настройки -> Встроенные объекты «Заполнитель вместо заблокированных объектов»
(Options -> Embeddings "Show placeholder icon")

noscript.showRevokeTemp
Настройки -> Внешний вид «Отменить временные разрешения»
(Options -> Appearance "Revoke Temporary Permissions")

noscript.showTemp
Настройки -> Внешний вид «Временно разрешить [...]»
(Options -> Appearance "Temporarily allow [...]")

noscript.showTempAllowPage
Настройки -> Внешний вид «Временно разрешить все скрипты на этой странице»
(Options -> Appearance "Temporarily allow all this page")
Не относится к заблокированным объектам, только к скриптам.

noscript.showTempToPerm
Настройки -> Внешний вид «Сохранить установленные разрешения»
(Options -> Appearance "Make page permissions permanent")

noscript.showUntrustedPlaceholder
Настройки -> Встроенные объекты
«Не показывать заполнитель вместо объектов с сайтов, отмеченных как недоверенные»
(Options -> Embeddings "No placeholder for object ‹…› untrusted")

noscript.showVolatilePrivatePermissionsToggle
(2.6.9.9rc1) Настройки -> Внешний вид «Пункты постоянных разрешений в приватном режиме»
(Options -> Appearance "Permanent "Allow" commands in private windows")
Показывать ли одноимённый пункт в меню разрешений приватного окна.
(см. noscript.volatilePrivatePermissions)
   https://noscript.net/faq#qa3_26

noscript.siteInfoProvider
Информация о сайте, при нажатии СКМ или Shift+ЛКМ на пункте меню разрешений.
Дефолтный адрес можно менять, например:
http://www.urlvoid.com/scan/%utf8%
https://www.dshield.org/ipinfo.html?ip=%utf8%
   https://noscript.net/features#siteinfo
   https://hackademix.net/2013/04/06/noscripts-security-and-privacy-info-feature/
   https://noscript.net/changelog#1.9.9.60

noscript.smartClickToPlay
Интеграция с click to play.
true — при подтверждении NoScript’овского разрешения включения плагина, он включается сразу.
false — дополнительно требуется нажать на «Включить Adobe Flash».

noscript.sound
Настройки -> Уведомления «Звуковое оповещение при блокировке скриптов»
(Options -> Notifications "Auto feedback when scripts are blocked")

noscript.sound.oncePerSite
Не повторять «Звуковое оповещение при блокировке скриптов» при повторном переходе на вкладку,
открытии недавно закрытой вкладки.

noscript.statusIcon
Настройки -> Внешний вид «Значок в строке состояния» (SeaMonkey)
(Options -> Appearance "Status bar icon")

noscript.statusLabel
Настройки -> Внешний вид «Сообщения в строке состояния»
(Options -> Appearance "Status bar label")

noscript.stickyUI;
Не относится к меню, вызываемому с клавиатуры (Ctrl + Shift + S).
true — меню разрешений не пропадает без клика в другом месте
(если меню разрешений открыто нажатием ЛКМ, а не наведением курсора).
false — будет пропадать после любого действия.
   https://noscript.net/faq#qa5_5

noscript.stickyUI.liveReload
true — перезагрузка страницы после разрешения/запрещения первого же скрипта,
без закрытия меню разрешений.
false — перезагрузка страницы после клика в другом месте.
   https://noscript.net/faq#qa5_5

noscript.stickyUI.onKeyboard
Для меню, вызываемого с клавиатуры (Ctrl + Shift + S).
true — перезагрузка страницы после разрешения/запрещения первого же скрипта.
false— перезагрузка страницы после клика в другом месте или нажатия Esc.
   https://noscript.net/faq#qa5_5

noscript.subscription.*URL
«Туда просто нужно вбить урлы на файлы подписок и радоваться…»
   https://forum.mozilla-russia.org/viewtopic…#p414014 iDev.Pi
   https://noscript.net/changelog#1.9.9.53

noscript.surrogate.surrogate_name.exceptions
Страницы, где не надо применять surrogates.
   https://hackademix.net/2009/01/page/2/

noscript.surrogate.surrogate_name.replacement
Код JavaScript, который будет выполнен.
Можно создавать свои правила — script-surrogates-quick-reference.
Примеры:
autofocus (attribute) https://forums.informaction…4301
https://forums.informaction.com/viewtopic.php?p=21658#p21658 Giorgio Maone
inline scripts — блокировка при работающих внешних (имеющих [src]) скриптах
https://forums.informaction.com/viewtopic.php?f=23&t=19937
https://forum.mozilla-russia.org/viewtopic.php?pid=700318#p700318 jars
jQuery (замена ajax.googleapis.com, yastatic.net, code.jquery.com и т.п.)
https://forums.informaction.com/viewtopic.php?f=26&t=20473
https://forums.informaction.com/viewtopic.php?p=69882#p69882
Lazy load images — увидеть изображения, предназначенные для отложенной загрузки
https://forums.informaction.com/viewtopic.php?f=26&t=19929 barbaz
mousedown, mouseover, click, focus
https://forums.informaction.com/viewtopic.php?p=84050#p84050 barbaz
mouseleave, mouseout https://forums.informaction.com/viewtopic.php?f=7&t=21076
navigator.app* + navigator.platform
https://www.wilderssecurity.com/threads/…25325842 Techwiz
navigator.cookieEnabled
 (return true) https://forums.informaction.com…#p16102 Giorgio Maone
http://forums.mozillazine.org/viewtopic…#p5786235 Giorgio Maone
 (запретить проверку разрешения) https://forums.informaction.com…#p16142 Giorgio Maone
navigator.mimeTypes + navigator.plugins
https://forums.informaction.com/viewtopic…#p80915 barbaz
https://www.wilderssecurity.com/threads/…2532142 TheWindBringeth
navigator.mozGetUserMedia (media.navigator.enabled)
https://forums.informaction.com/viewtopic.php?f=18&t=18818 barbaz
navigator.plugins https://bugzilla.mozilla.org/…757726 Garrett Smith
http://wiki.kairaven.de/open/app/firefox#plugin-fingerprinting Kai Raven
navigator.sendBeacon (beacon.enabled)https://forums.informaction.com/viewtopic…75258 barbaz
https://forums.informaction.com/viewtopic.php?f=7&t=19912&p=70886#p70886 barbaz
https://openuserjs.org/scripts/tntc4/navigator.sendBeacon_Remover/source tntc4
navigator.userAgent (general.useragent.override.example.tld)
https://javascript.ru/…perezapis-standartnykh-obektov.html#post249852 danik.js
https://superuser.com/questions/445869/user-agent-header-for-a-single-site…695049
noscript.emulateFrameBreak — исключения
http://forums.mozillazine.org/viewtopic.php?p=5689285#p5689285 Giorgio Maone
window.close() https://forums.informaction.com/viewtopic.php?p=21804#p21804 Giorgio Maone
window.confirm() https://forums.informaction.com/viewtopic.php?p=83955#p83955 barbaz
window.eval https://www.dslreports.com/forum/… Improfane
window.getSelection https://github.com/…/disable-getselection.user.js The-OP
window.indexedDB (dom.indexedDB.enabled) http://forum.ru-board.com/topic…3760#12 file heka
window.localStorage + window.sessionStorage (dom.storage.enabled)
https://forums.informaction.com/…#p18968 al_9x
https://bugzilla.mozilla.org/show_bug.cgi?id=527970#c6 al_9x
window.mozRTCPeerConnection (media.peerconnection.enabled)
https://forums.informaction.com/viewtopic.php?p=75495#p75495 barbaz
window.navigator, window.screen https://forums.informaction.com/viewtopic…#p71552 barbaz
window.onbeforeunload (dom.disable_beforeunload)
https://forums.informaction.com…p12319 Giorgio Maone
https://forums.informaction.com/viewtopic…#p62624
window.print https://forums.informaction.com/viewtopic…#p78100 barbaz
window.requestAnimationFrame (добавить Object.defineProperty(window,"mozRequestAnimationFrame",{set:function(){}});)
https://forums.informaction.com/viewtopic…#p70202 barbaz
window.screen.avail* https://superuser.com/questions/…customize-screen-resolution
window.setTimeout https://forums.informaction.com/viewtopic…#p14800 Giorgio Maone
gmail (stop redirects from)http://forums.mozillazine.org/viewtopic…#p12344621 therube
google login (uncheck stay-signed-in)
https://forums.informaction.com/viewtopic…18980 Thrawn
google preview https://forums.informaction.com/viewtopic.php?f=8&t=5695 al_9x
habrahabr, geektimes, toster, github.com/wiki
https://github.com/anonF8A36D/Noscript… anonF8A36D
pastebin, dropb, hastebin https://gist.github.com/nyuszika7h/… nyuszika7h
youtube (advertisement before videos)
https://webapps.stackexchange.com/questions/…youtube-videos
https://forums.informaction.com/viewtopic…#p73882 barbaz
https://openuserjs.org/scripts/lolo888/Youtube_remove_ads/source lolo888
   https://hackademix.net/2009/01/page/2/
   https://forum.mozilla-russia.org/viewtopic…#p590478 Lain_13
   https://forum.mozilla-russia.org/viewtopic…#p453021 Vladimir_S
   https://forums.informaction.com/viewtopic…#p75459 Giorgio Maone

noscript.surrogate.surrogate_name.sources
URL заменяемого скрипта.
!@ https://noscript.net/changelog#1.9.9.95rc1
no prefix, @, ! https://forums.informaction.com/viewtopic.php?p=18370#p18370
Notice that the "@" before URL… Giorgio Maone
<, > https://noscript.net/changelog#2.1.3rc5

noscript.sync.enabled
Синхронизация настроек без задействования экспорта/импорта файла настроек.
   https://forum.mozilla-russia.org/viewtopic.php?id=43364 Lain_13
   http://gladiator-antivirus.com/forum/index.php?showtopic=107194 Chachazz

noscript.temp
Cписок временно разрешённых сайтов.

noscript.tempGlobal
true — при перезапуске браузера автоматически снимается галка
«Глобальное разрешение скриптов (опасно) ("Allow Scripts Globally (dangerous)").
   https://forums.informaction.com/viewtopic…#p34908
   maone.net/viewtopic.php?p=7538#p7538

noscript.toStaticHTML
Получение чистого HTML-кода без атрибутов и обработчиков. Суррогатный скрипт.
   https://forums.informaction.com/viewtopic…#p19516

noscript.toggle.temp
По нажатию CTRL + SHIFT + \
true — временно запретить/разрешить документ верхнего уровня.
false — постоянно запретить/разрешить документ верхнего уровня.
   https://noscript.net/features#kbshort
   https://noscript.net/changelog#1.1.4.6.070317

noscript.toolbarToggle
(см. noscript.hoverUI.excludeToggling)
Настройки -> Основные -> «Нажатием на значок переключать разрешение
документа верхнего уровня активной вкладки»
1 —«Полные адреса (http://www.noscript.net)»
2 —«Полные домены (www.noscript.net)»
3 —«Базовые домены 2-го уровня (noscript.net)»
(Options -> General -> "Left clicking on NoScript toolbar button ‹…› site")
1 —"Full Addresses (http://www.noscript.net)"
2 —"Full Domains (www.noscript.net)"
3 —"Base 2nd level Domains (noscript.net)"

noscript.truncateTitle
Сокращение длинных имён, в т.ч. при сохранении вкладок.
С 2.0.9.8 также сокращение URL placeholder’ов подсказок в строке запроса
для удобства читаемости.
Защита от ошибки 319004 (DOS атаки), в т.ч. на whitelisted сайтах.
   https://noscript.net/changelog#1.1.3.5

noscript.truncateTitleLen
Количество символов noscript.truncateTitle.

noscript.untrusted
«Недоверенные» — список сайтов. Недоверенные не предлагается разрешить/запретить
в меню разрешений. Параметр (строка) отсутствует по умолчанию.
Появляется после добавления первого сайта через меню разрешений.
https://forum.mozilla-russia.org/viewtopic…#p395054 список Lain_13
https://forums.informaction.com/viewtopic.php?f=10&t=7687 Tom T.
   https://noscript.net/features#blacklist

noscript.untrustedGranularity
Определяет, как удаление (вручную) домена из blacklist и внесение во whitelist
влияет на статус потомков:
0 — не вносить потомков в blacklist.
1 — держать потомков в blacklist при временном разрешении.
2 — держать потомков в blacklist при постоянном разрешении.
3 — всегда держать потомков в blacklist.
4 — удалять потомков из blacklist при разрешении недоверенного домена.
Белый список подчиняется этой настройке.
   https://noscript.net/changelog#1.7.5
   https://noscript.net/changelog#1.7.5.3

noscript.urivalid.protocolname
URI-валидитор для защиты от URI-based эксплойтов.
Можно создавать строковые параметры по образцу noscript.urivalid.aim
   https://noscript.net/changelog#1.1.6.12
или пробовать добавлять протоколы в noscript.fixURI.exclude.
   http://forums.mozillazine.org/viewtopic…#p3375377 Giorgio Maone

noscript.utf7filter
Защита от UTF-7 XSS атак.
   https://noscript.net/changelog#1.1.6.05

noscript.volatilePrivatePermissions
Меню разрешений в приватном режиме ->
«Пункты постоянных разрешений в приватном режиме»
("Permanent "Allow" commands in private windows")
false — показываются постоянные и временные разрешения.
true — показываются только временные разрешения.
Временные разрешения не сохраняются на диск.
(см. noscript.showVolatilePrivatePermissionsToggle)).
   https://noscript.net/changelog#2.6.9.7

noscript.whitelistRegExp
Для обхода ограничения на использование в белом списке подстановочных знаков только в субдомене.
(https://noscript.net/features#sitematching).
   https://noscript.net/changelog#1.1.8
Использовать только в исключительных случаях.
   http://forums.mozillazine.org/viewtopic…#p3312305
Например: добавить домен верхнего уровня .edu:
^https?://[^/]+\.edu/
   http://forums-test.mozillazine.org/viewtopic…#p3208645 Giorgio Maone
Ещё варианты: .*\.edu
   https://forums.informaction.com/viewtopic…#p15791 Giorgio Maone
.*\.(?:edu|gov)
   http://forums.mozillazine.org/viewtopic…#p5576055 Giorgio Maone

noscript.xss.checkInclusions
Защита от отражённой атаки XSSI.
(http://rus-linux.net/MyLDP/…-xsrf-csrf.html -> Типы CSRF-атак)
   https://noscript.net/changelog#2.1.8rc2

noscript.xss.notify.subframes
Предупреждения об XSS в субфреймах.
   https://noscript.net/changelog#1.1.4.8rc1

noscript.xss.trustExternal
true — anti-XSS фильтр должен быть обойден для URL-адресов, открываемых из внешних приложений,
таких как почтовые клиенты.
   https://noscript.net/changelog#1.1.4.8.070509
   http://forums-test.mozillazine.org/viewtopic…p3331959 Giorgio Maone

noscript.xss.trustReloads
false — проверять на XSS при автоперезагрузке страниц, вносимых в белый список.
   https://noscript.net/changelog#1.1.4.8.070425

noscript.xss.trustTemp
false — «Временно разрешённые» сайты рассматриваются как недоверенные, с точки зрения
защиты от XSS, даже если запросы от этих сайтов не содержат HTML или JS инъекции.
true — обход anti-XSS для временно разрешённых.
   https://noscript.net/features#xss
   https://noscript.net/features#xssopts
   https://noscript.net/changelog#1.1.4.8.070509

Хотелось бы выразить благодарность:
iDev.Pi и Lain_13 за помощь с ABE.
okkamas_knife, bunda1, turbot — за то что первыми посмотрели на эту писанину.
barbaz — за разъяснение смысла сложных для понимания вещей.
updated: 2016.09.29
GFDL Valid HTML 4.01 Strict