一、通过Chrome内置功能防范脚本注入
1. 启用增强型保护模式：点击浏览器右上角“三个点”→“设置”→“隐私和安全”→“安全性”，开启“增强型保护”功能。此模式会实时检测并拦截高风险扩展程序，阻止其执行恶意脚本。
2. 设置内容安全策略（CSP）：开发者可在网页头部添加meta http-equiv="Content-Security-Policy" content="script-src 'self'"，限制仅加载当前域名的脚本。此操作可防止外部恶意代码注入，但需确保网站资源链接正确。
3. 关闭危险权限：进入“扩展程序”页面（`chrome://extensions/`），检查已安装插件的权限，取消勾选不必要的权限（如“读取浏览历史”“修改网页数据”），尤其是来历不明的插件。
二、安装与配置安全防护插件
1. 推荐插件及功能：
- ScriptSafe：在Chrome应用商店搜索并安装，可自动拦截未授权的脚本执行。安装后点击插件图标，选择“Block All Scripts”即可屏蔽所有非白名单脚本，适合高风险场景。
- NoScript：安装后默认禁止所有脚本，需手动为信任的网站添加例外规则。右键点击网页时选择“Allow Scripts Globally”可临时启用脚本，提升安全性。
- Ironclad Enclave：通过沙盒技术隔离插件，防止其访问主浏览器环境。在扩展页面点击插件的“盾牌”图标，可查看其安全状态。
2. 配置步骤：
- 安装插件后，点击浏览器右上角的插件图标，进入设置界面。
- 根据需求选择防护级别（如“严格模式”或“自定义白名单”）。
- 将常用网站添加到白名单（如`https://mybank.com`），避免正常功能受阻。
三、排查与解决脚本注入问题
1. 识别恶意插件：
- 在扩展页面检查插件来源，优先保留来自Chrome官方商店的插件。
- 使用工具（如CRXcavator）解压插件文件（.crx格式），查看`manifest.json`中的权限声明，若包含`"permissions": ["tabs", "activeTab"]`等敏感权限需警惕。
2. 清除可疑扩展：
- 进入扩展页面，卸载近期安装的陌生插件。
- 按`Ctrl+Shift+Del`清除浏览器数据，选择“所有时间”范围，删除缓存、Cookies等可能存储的恶意脚本。
四、高级防护与系统联动
1. 组策略强制管控：企业用户可通过域控服务器配置`policy.json`文件，限制插件安装来源。例如，添加以下代码禁止第三方扩展：
json
{
"ExtensionInstallSources": ["from_store"],
"ExtensionSettings": {
"abcd1234": {
"block_script_injection": true
}
}
}

通过命令行参数`--policy-file="path/to/policy.json"`启动Chrome，强制执行策略。
2. 脚本自动化监控：编写批处理文件定期扫描扩展目录（如`C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions`），检测新增插件并发送警报。例如：
bat
@echo off
dir /b "%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Extensions" > extensions_list.txt
if exist extensions_list.txt type extensions_list.txt | findstr /v /i "trusted_plugin_id" && echo 发现未知插件 >> alert.log

五、替代方案与补充措施
1. 使用无痕模式测试：按`Ctrl+Shift+N`打开无痕窗口，此模式下部分插件会被自动禁用，可快速判断问题是否由插件引起。
2. 结合防火墙规则：在路由器或本地防火墙中设置规则，阻止访问可疑域名（如`http://malicious-script.com`），从网络层面阻断脚本下载。