Sécurité et utilisation
Utiliser NoScript est relativement simple. Après l'installation, JavaScript, Java, Flash, Silverlight et les autres contenus exécutables sont bloqués par défaut dans le navigateur. Ensuite, l'utilisateur peut explicitement permettre à ce type de contenu de s'exécuter, éventuellement de manière temporaire. Par rapport à une liste noire, le fonctionnement avec une liste blanche permet une défense plus efficace contre les exploitations des failles de sécurités.
NoScript se présente dans Firefox sous la forme d'un bouton discret dans la barre d'état, qui permet d'ouvrir un menu afin de configurer NoScript. L'utilisateur peut aussi afficher une barre d'outils. Lorsque un script est bloqué, une notification semblable à celle annonçant une pop up apparaît, autorisant l'utilisateur à maintenir le blocage ou à autoriser le script.
Fonctionnement de la liste blanche
La liste blanche est l'inventaire des sites dont les scripts sont autorisés. Un site faisant partie de la liste blanche a la permission d'utiliser tous les protocoles. L'utilisateur peut autoriser une adresse exacte, ce qui autorise implicitement tous les sous répertoires, et autoriser un nom de domaine, ce qui a pour effet d'autoriser les pages appartenant à ce domaine ainsi qu'à tous les sous domaines.
Les premières versions de NoScript bloquaient par défaut seulement le Javascript et le Java. Dans la dernière version, le Flash et autres plugins le sont aussi, afin d'éviter les attaques XSS basés sur Flash ainsi que l'exploitation des failles de différents plugins..
Liste noire
NoScript possède aussi un système de liste noire. Les sites présents dans la liste noire voient leur contenu bloqué au même titre qu'un site inconnu. En revanche, le blocage n'est pas notifié à l'utilisateur à chaque fois qu'un script tente de s'exécuter. Cette fonctionnalité est donc particulièrement utile en ce qui concerne les sites auxquels l'utilisateur est souvent confronté. Un site présent dans la liste noire peut bien sûr en être retiré .
Protection contre XSS
NoScript protège contre les failles XSS basées sur le DOM ainsi que les attaques XSS dirigées vers des sites appartenant à la liste blanche. Lorsque qu'un tel cas de figure se présente, l'utilisateur en est averti et peut éventuellement choisir de bloquer la requête soupçonnée d'être malicieuse. Les requêtes dont l'origine et la destination sont des sites de la liste blanche sont aussi filtrées.