Аналог NoScript для Opera

Однажды, после того как очередной раз на моём компьютере поселились трояны из-за посещения заражённого сайта, я подумал о возможном аналоге плагина NoScript, только для Оперы. Широко известно, что Опера поддерживает пользовательские javascript-ы, так почему бы не воспользоваться встроенным функционалом браузера и не написать свой скрипт-плагин? Изучение документации с сайта opera.com выводит нас на необходимое АПИ для управления разрешением/запретом выполнения js на страничке. События:

[BeforeScript]
[BeforeExternalScript]
[BeforeJavascriptURL]

Этого вполне достаточно для реализации затеи. Но встаёт другая проблема: откуда скрипт будет брать настройки безопасности для сайтов? Вариант установить Denwer и использовать php для хранения такой информации конечно неплох, но подходит лишь для частного случая. Поэтому выбор пал на кукисы. Но вот незадача, вредоносный скрипт так же имеет доступ к кукисам и если userjs обрабатываются раньше, то это значит, что мы можем лишь полностью блокировать выполнение javascript. При частичной блокировке вредоносный скрипт изменит наши cookies и повысит тем самым себе привелегии до нужных.
А что, собственно требуется? Четыре режима работы:

0) Полная блокировка
1) Разрешено выполнение скриптов только с данного домена
2) Разрешено выполнение скриптов с домена и его поддоменов
3) Разрешено выполнение скриптов из любого места

Чтобы вредоносному скрипту было не повадно трогать наши кукисы поступим так: если кукис с именем А (условно) отсутствует, либо его значение не равно одному из прописанных внутри скрипта-плагина, то включается режим полной блокировки. Пользователь всегда может изменить настройки для данного сайта на более лояльные.

Итак, при открытии странички первыми выполняются userjs. Плагин должен получить значения нужного кукиса и на основе его выставить во внутренних настройках (поле объекта) номер режима работы javascript. При любом из вышеуказанных событий следует проверить номер режима и принять решение на основе его значения.

Привожу ниже законченный пример реализации. У скрипта есть некоторые баги, но в целом работает и для демонстрации идеи вполне подойдёт. Для безопасного серфинга следует изменить значения некоторых переменных на случайный набор символов:

var CookieName = 'SafeGuard'; имя кукиса с настройками
var ModeOnlyDomain = 's,i4yla84c,tl'; только текущий домен
var ModeDomAndSub = '98347qv4c,u58tu8'; домен и поддомены
// Слияние строк ModeOnlyDomain и ModeDomAndSub даёт режим "разрешено всё"

Меню настройки вызывается по CTRL+ALT+двойному клику в любом месте документа.
Полный код скрипта:

/*INFO
NAME = 'SafeGuard 2B'
VERSION = '1.01'
AUTHOR = 'Berserker'
DATE = '19.03.2009'
DESCRIPTION = '"NoScript" analog for Opera'
*/

z = function() {
	// CONFIG
	var CookieName = 'SafeGuard'; // #1 - SafeGuard CookieName (use smth like "monkey")
	var ModeOnlyDomain = 's,i4yla84c,tl'; // #3 - Allow Only This Domain Mode (Attention! use smth unreadable like "li48nv8cn54t8m")
	var ModeDomAndSub = '98347qv4c,u58tu8'; // #4 - Allow Domain and Subdomains Mode (Attention! use smth unreadable like "lwn<cmxl&54*")
	// RUN
	var win = self;
	var doc = win.document;
	var opera = win.opera;
	var z = {}; // SafeGuard Protected Object
	z.Cookie = CookieName;

	z.Trim = function(Str) {
		return Str.replace(/^\s\s*/, '').replace(/\s\s*$/, '');
	} // .function z.Trim

	z.GetCookie = function(Name) {
		var Cookie = document.cookie.split(';');
		var Len = Cookie.length;
		var Res = '';
		var i=0;
		for(; i<Len; i++) {
			Res = (this.Trim(Cookie[i])).split('=');
			if(this.Trim(Res[0])===Name) {
				return unescape(this.Trim(Res[1]));
			} // .if
		} // .for
		return '';

	} // .function z.GetCookie
	z.SetCookie = function(Name, Value, Expire) {
		document.cookie = Name+'='+escape(Value)+'; expires='+(new Date((new Date).getTime()+Expire*1000)).toGMTString();
	} // .function z.SetCookie

	z.Modes = {}
	z.ModeNames = {}
	z.Modes[ModeOnlyDomain] = 1;
	z.Modes[ModeDomAndSub] = 2;
	z.Modes[ModeOnlyDomain+ModeDomAndSub] = 3;
	z.ModeNames[0] = 'BlockAll';
	z.ModeNames[1] = ModeOnlyDomain;
	z.ModeNames[2] = ModeDomAndSub;
	z.ModeNames[3] = ModeOnlyDomain+ModeDomAndSub;
	z.Mode = z.GetCookie(CookieName);
	z.Mode = z.Modes[z.Mode]!==undefined ? z.Modes[z.Mode] : 0;

	var Dialog = function(e) {
		if(!((e.event.altKey) || (e.event.ctrlKey))) {
			return;
		} // .if
		var z = arguments.callee.z;
		var Res = prompt('SafeGuard Mode: (0 - Block All, 1 - Allow only this domain, 2 - Allow this domain and subdomains, 3 - Allow All (dangerous!))', z.Mode);
		if(Res===undefined) {
			e.preventDefault();
			return false;
		} // .if
		z.Mode = Math.floor(parseInt(Res));
		z.Mode = ((z.Mode>=0) && (z.Mode<=3)) ? z.Mode : 0;
		z.SetCookie(z.Cookie, z.ModeNames[z.Mode], 3600*24*365);
		location.reload();
	} // .function Dialog

	var ExtScript = function(e) {
		var z = arguments.callee.z;
		if(!z.Mode) {
			e.element.src = '';
			e.preventDefault();
			return false;
		} // .if
		if(z.Mode==3) {
			return;
		} // .if
		var Src = e.element.src;
		var Pos = 0;
		Src = Src.slice(Pos=Src.indexOf('://')+3, Src.indexOf('/', Pos+1));
		var Domain = Src.split('.', 2);
		Domain = Domain[Domain.length-1];
		var DocDomain = document.domain.split('.', 2);
		DocDomain = DocDomain[DocDomain.length-1];
		if(((z.Mode==1) && ((Src!==DocDomain))) || ((z.Mode==2) && (Domain!==DocDomain))) {
			e.element.src = '';
			e.preventDefault();
			return false;
		} // .if
		return;
	} // .function ExtScript

	var GenBlock = function(e) {
		var z = arguments.callee.z;
		if(!z.Mode) {
			e.preventDefault();
			return false;
		} // .if
		return;
	} // .function GenBlock

	Dialog.z = z;
	ExtScript.z = z;
	GenBlock.z = z;
	opera.addEventListener('BeforeScript', GenBlock, false);
	opera.addEventListener('BeforeExternalScript', ExtScript, false);
	opera.addEventListener('BeforeJavascriptURL', GenBlock, false);
	opera.addEventListener('BeforeEventListener', GenBlock, false);
	opera.addEventListener('BeforeEvent', GenBlock, false);
	opera.addEventListener('BeforeEvent.dblclick', Dialog, false);
	return win.z;
}();

Плагин не загрязняет окружение переменных "window" и вообще не использует глобальные переменные.
Данный код не претендует на абсолютную корректность, а представлен скорее как демонстрационный пример. Если мы не возьмёмся за свою безопасность, она возьмётся за нас

P.S Для работы скрипта необходимо добавить в начало кода строчки:

// ==UserScript==
// @exclude http://example.com/*
// ==/UserScript==

...которые почему-то данный движок не переваривает

P.S.S В приложении вы можете скачать готовый плагин.