Должен ли я разрешить JavaScript? Когда включать, риски и безопасные настройки (2025)

Без JavaScript интернет выглядит как музей: логин не работает, корзина пустая, карты не двигаются. Но у включённых скриптов есть цена - риски безопасности и трекинг. Хочется и функциональность вернуть, и не открыть дверь всему подряд. В 2025 году это решается не «вкл/выкл», а точечной настройкой: разрешаем там, где нужно, и ограничиваем лишнее.

• Коротко (TL;DR):
• Большинству людей лучше держать JavaScript включённым, но с умной фильтрацией: авто-блок трекеров, запрет для подозрительных сайтов, исключения для нужных сервисов.
• Без JS ломаются логины, платежи, карты, видео, чаты, документы - примерно всё, что «живое».
• Риски: XSS, скрытая майнинговая нагрузка, поведенческий трекинг, фингерпринтинг. Смягчаем: обновления браузера, блокировщики, пер-сайт разрешения, отдельные профили.
• Как действовать: разрешать на доверенных сайтах (банк, госуслуги, знакомые бренды), на незнакомых - сначала открыть в отдельном профиле/приватном окне, смотреть поведение.
• Настроить можно за 2-3 минуты: путь по браузерам ниже + чеклисты и быстрая диагностика.

Когда разрешать JavaScript, а когда лучше не надо

Факт: по данным W3Techs на 2025 год, JavaScript используют ~98% сайтов. То есть без него вы почти всегда теряете ключевые функции. Банки требуют интерактивности для подтверждений, магазины - для корзин и оплаты, государственные порталы - для форм и проверок. Даже новостные сайты без скриптов часто не грузят комментарии или ленты.

Что ломается без JS чаще всего:

• Авторизация и двухфакторная защита (кнопки не кликаются, события не срабатывают).
• Оплата, корзина, фильтры, поиск по каталогу.
• Карты (перемещение, поиск, геолокация), онлайн-редакторы, чаты, виджеты поддержки.
• Видео-плееры, аудио, лайвы, стримы.
• Капчи, проверка форм, загрузка файлов с предпросмотром.

Плюсы включённого JS: сайт работает как задумано, меньше «битых» сценариев, выше удобство. Минусы: вы позволяете страницам исполнять код в вашем браузере. Если код злонамеренный или просто тяжёлый, получите риски: от XSS до трекинга и нагрева ноутбука.

Что с рисками в реальности:

• Вектор атак №1 для фронта - XSS. OWASP стабильно относит XSS к критичным веб-уязвимостям. Хорошая новость: крупные сайты активно ставят Content Security Policy (CSP), Trusted Types, санитайзеры.
• Трекеры и фингерпринтинг. По данным HTTP Archive за 2024-2025, медианный объём JS на мобильных страницах держится в сотнях килобайт, и существенная часть - аналитика и рекламена. Блокировщики срезают львиную долю.
• Нагрузка: тяжёлые бандлы едят батарею и память, особенно на слабых устройствах. Правильные фильтры и режимы экономят ресурсы без потери нужных функций.

Встроенные защиты на вашей стороне: изоляция сайтов (Site Isolation) в современных Chrome/Edge, строгие процессы в Firefox, песочницы в Safari, антимошеннические фильтры (Safe Browsing/SmartScreen), блок трекеров и фингерпринтинга (Firefox ETP, Safari ITP). Они не волшебная палочка, но сильно снижают риски.

Как решить «включать или нет» - простая схема:

• Вы знаете и доверяете сайту (банк, госуслуги, узнаваемый магазин)? Разрешайте JS для него, но держите включённый блокировщик трекеров.
• Незнакомый сайт из рекламы, всплывающие окна, странные редиректы? Откройте в приватном окне/гостевом профиле. Если просит разрешить уведомления сразу - закройте вкладку. Без нужды не включайте.
• Нужна только статья/рецепт/текст? Откройте режим «Читалка» (Reader) или сохраните страницу в PDF. Часто контент виден без скриптов.
• Хочется спокойствия и скорости? Блокируйте сторонние (third-party) скрипты по умолчанию и давайте им доступ точечно.

Кому какой подход подходит:

• Обычный пользователь: держите JS включённым глобально, используйте лёгкий блокировщик (например, базовые списки рекламы/трекеров), добавляйте исключения для важных сайтов.
• Продвинутый/параноик: жёсткая фильтрация по доменам, разные профили браузера для «банкинг/работа/всё остальное», NoScript или динамические правила в блокировщике.
• Рабочий ноутбук: соблюдайте корпоративные политики. Часто уже стоят расширения и правила, не ломайте их.

Как безопасно включить и настроить JavaScript в популярных браузерах

Сейчас не про философию, а про практику. Ниже - быстрые шаги, как включить JavaScript и при этом не превратить браузер в проходной двор.

Google Chrome (Windows/macOS/Linux):

1. Откройте Настройки → Конфиденциальность и безопасность → Настройки сайта → JavaScript.
2. Выберите «Разрешено» для удобства повседневного серфинга.
3. Ниже добавьте «Исключения»: блокируйте JavaScript на сомнительных сайтах («Добавить» → «Блокировать» для домена).
4. Совет: включите «Безопасный просмотр» (стандартная защита) в Конфиденциальность и безопасность.

Microsoft Edge (Chromium):

1. Настройки → Cookies и разрешения сайта → JavaScript.
2. Разрешите глобально, а затем «Заблокировать» для отдельных сайтов или целых шаблонов доменов.
3. Включите Microsoft Defender SmartScreen.

Mozilla Firefox (Windows/macOS/Linux):

1. По умолчанию JS включён. Тонкая настройка: в адресной строке введите about:config, найдите javascript.enabled и поставьте true/false по потребности (осторожно, это системный флаг).
2. Более безопасный подход: оставьте JS включённым, но включите Усиленную защиту от отслеживания (Меню → Настройки → Приватность и защита → Строгая).
3. Для точечного контроля используйте расширения: uBlock Origin (динамические фильтры), NoScript (гранулярный контроль скриптов и исполнения медиа).

Safari (macOS):

1. Safari → Настройки → Безопасность → Флажок «Включить JavaScript».
2. В Настройках → Конфиденциальность активируйте «Предотвращение межсайтового отслеживания».
3. Для сайтов, где реклама мешает, включайте Reader (Просмотр → Показать читателя).

Safari (iOS/iPadOS):

1. Настройки iOS → Safari → Дополнения → JavaScript (переключатель). На актуальных версиях он остаётся в «Дополнительно».
2. Включите «Предотвращение отслеживания между сайтами» и «Блокировать всплывающие окна».
3. Если сайт ведёт себя странно, откройте его в приватной вкладке и проверьте ещё раз.

Chrome (Android):

1. Настройки Chrome → Настройки сайта → JavaScript → Разрешить.
2. Добавьте «Исключения» для блокировки на сомнительных доменах.
3. Включите «Экономию трафика/памяти», если доступна, и используйте блокировку рекламы от производителя (в некоторых прошивках).

Точечные разрешения и контроль:

• Пер-сайт настройки: в адресной строке нажмите на иконку замка → «Настройки сайта» → Разрешения → JavaScript. Меняйте только для текущего домена.
• Отдельные профили: создайте «Работа», «Банкинг», «Развлечения». Включайте расширения и правила по-разному, чтобы не таскать куки и разрешения между сферами.
• Блокировщики: uBlock Origin - хорошая база. Для продвинутых - включите динамические правила и запрещайте сторонние скрипты по умолчанию; разрешайте только те, без которых ломается функционал.
• Anti-fingerprinting: Firefox (about:config/строгая защита), Safari (ITP), некоторые сборки Chromium-браузеров добавляют защиту отпечатка.
• Используйте приватное окно/гостевой профиль для «разовых» сайтов. Так вы обнуляете куки/локальное хранилище при закрытии.

Мини-советы, чтобы не страдать:

• Если сайт не грузит кнопку «Оплатить», временно разрешите скрипты третьих сторон для этого домена. После оплаты верните ужесточения.
• Увидели «страницу из баннера» с требованием включить уведомления, скачать «обновление» или поделиться доступами - закрывайте без дискуссий.
• Не ставьте 5 анти-рекламных расширений одновременно. Одного мощного достаточно. Чем больше крючков - тем больше шансов на конфликты и тормоза.

Чеклисты, таблица, ответы на вопросы и что делать дальше

Быстрый чеклист «разрешать на новом сайте?»:

• Адрес https, домен совпадает с ожиданием (а не «pay-ru-bank.example-verify.com»)?
• Никаких мгновенных всплывашек «Разрешить уведомления» до того, как вы что-то делали?
• Нужна интерактивность (логин, форма, оплата, карта) прямо сейчас?
• Готовы открыть в отдельном профиле/приватной вкладке, если сомневаетесь?
• Сайт известный? Проверяете не через ссылку из письма, а вручную вбили адрес?

Чеклист быстрой защиты:

• Браузер обновляется сам? Включены автоматические апдейты ОС и расширений?
• Включён блокировщик трекеров/рекламы с актуальными списками.
• Третьесторонние куки выключены (кроме случаев, когда это ломает нужные сервисы).
• Для банков/госуслуг - отдельный профиль без экспериментальных расширений.
• Разрешения JS и всплывающих окон выдаёте только осознанно, «по месту».

Что реально меняется с JS включён/выключен - на одной странице:

Немного цифр для ориентира:

• ~98% сайтов используют JS (W3Techs, 2025).
• Медианный объём JS на мобильной странице - сотни килобайт; значительная доля - аналитика/реклама (HTTP Archive, 2024-2025).
• XSS стабильно в топе рисков веб-приложений (OWASP). Современные CSP и изоляция контента снижают, но не убирают риски полностью.

FAQ - короткие ответы:

• «Можно ли жить с полностью выключенным JavaScript?» - Да, если готовы к поломанным логинам/оплатам и готовы много «докручивать» вручную. Для большинства это неудобно.
• «JS - это опасно?» - Опасно всё не обновлённое и без фильтров. При актуальном браузере, блокировщике и пер-сайт разрешениях риски умеренные.
• «Почему сайт просит включить JS, хотя я просто читаю?» - Часто редакторская тема, счётчики, A/B-тесты, плееры. Включите Reader Mode, чтобы прочитать без скриптов.
• «Тор Браузер?» - На уровне «Safest» он отключает много чего, включая JS. Подходит для приватности, но ломает сайты. Включайте точечно при необходимости, понимая риски деанонимизации.
• «Тормозит ноутбук, кулер ревёт - это из-за JS?» - Часто да: тяжёлые бандлы, майнеры, плохая реклама. Проверьте диспетчер задач браузера, заблокируйте сторонние скрипты, включите читалку.
• «JS и куки - это одно и то же?» - Нет. Куки - хранилище, JS - язык исполнения. Но JS часто использует куки/Storage. Блокируйте третьесторонние куки и ограничивайте скрипты.
• «Как понять, работает ли у меня JS?» - Откройте любой сайт с интерактивностью (например, картой). Или в адресной строке попробуйте открыть консоль разработчика и выполнить простой alert - если разрешено.

Что делать, если сайт всё равно «не летит»:

• Проверьте, не переблокировали ли: временно отключите блокировщик на сайте, перечитайте сообщение об ошибке.
• Очистите кеш и куки только для этого сайта (Настройки сайта → Очистить данные).
• Откройте в приватном окне или другом профиле - часто помогает быстро найти конфликт расширений.
• Проверьте дату и время системы - SSL и скрипты могут падать из‑за «прыгающих» часов.
• Если это банк/госуслуги - не используйте экспериментальные расширения, которые вмешиваются в скрипты (заметки, сценарии-автозаполнители и т.д.).

Готовый набор «минимум боли - максимум пользы» на каждый день:

• Держите JS включённым, но с блокировщиком трекеров/рекламы.
• Запрещайте сторонние скрипты там, где это не ломает функциональность.
• Для банков и платежей - отдельный чистый профиль.
• Незнакомые сайты - через приватное окно, без сохранения следов.
• Регулярные обновления: браузер, ОС, расширения - без них любые советы слабее.

Если хочется ещё надёжнее: изучите Content Security Policy отчёты сайта (для продвинутых), включите строгие списки фильтров, а скрипты разрешайте от доменов первого уровня (first-party) только по необходимости. Это добавит пару кликов, но сэкономит много нервов.

И последний штрих. В мире, где почти каждый сайт тащит десятки килобайт кода, ваша цель - не «всё запретить», а «решать, кому доверять». С правильной настройкой вы получаете и рабочий интернет, и спокойствие.