Хорошо, что мой ответ в другом месте ещё не исчез. Держи (это не говоря об удобстве).Во-первых, всегда был тормозной.
Во-вторых, мог только в глобальные правила (ковыряние ABE не считаем, это никто не использовал). Т.е. разрешая какой-то домен, он разрешается везде. И постоянные правила, и временные.
В-третьих, он не рулит сетевыми запросами и пропускает XHR. Релевантный случай недавно на форчане был. Хиро добавил в скрипты сайта стучание на малварные домены и проверку ответов, с последующим ломанием вёрстки. Юзеры юматрикса сразу заметили и подняли шум, а юзеры носкрипта периодически приходили со скринами и словами «да не разрешайте эти домены и всё, ничего не ломается», не понимая, что их носкрипт запросы к малварным доменам не заблочил и поэтому ничего не сломалось.
В-четвёртых, он приходит с белым списком. И он не проверяется на актуальность при релизах. От чего были смешные случаи, когда злоумышленник может за копейки купить домен и отняшить большинство юзербазы носкрипта. Алсо яндексовый домен Маоне только недавно убрал из вайтлиста.
Есть и плюсы, если быть честным. Там был нужный для тех лет click-to-play. Правда, на хтмл5 видео он криво работал и ломал ютуб, но для флеша и фреймов хорошо работал. Но эта фича перестала быть мне нужной (флеша давно нет), да и когда пользовался это слабо компенсировало остальные минусы.
Но до сих пор люди любят повторять многолетние баззворды: но ведь носкрипт имеет защиту против XSS, Clickjacking и прочих вещей, чего нет в юматриксе! Тут нужно знать, что кликджекинг — блокировка сторонних фреймов, а XSS это такая широкая вещь, что глупо верить в волшебный фильтр, когда ИИ ещё не завезли. Большинство спектров атак идут через скрипты + дыры в браузерах, и если защищаться, то блокировкой скриптов, а не иконами со святыми и xss-фильтром носкрипта.
