1. 选择正规来源插件
- 仅从Chrome官方应用商店下载插件，避免第三方网站或未知来源。正规插件需通过谷歌审核，恶意脚本风险较低。例如，广告拦截类插件（如uBlock Origin）和反钓鱼工具（如PhishGuard）均在应用商店上架，安全性更高。
2. 审查插件权限与代码
- 安装前仔细查看插件请求的权限，只授予必要权限（如仅允许访问特定网站）。技术用户可通过工具（如CRXcavator）分析插件代码，检查是否存在可疑脚本或数据收集行为。若插件要求过多敏感权限（如读取浏览历史），建议放弃安装。
3. 启用浏览器增强保护
- 进入设置→隐私和安全→“安全浏览”和“增强型保护”，开启后可自动拦截恶意脚本和钓鱼网站。此功能会实时检测插件行为，阻止未经授权的脚本注入。
4. 配置内容安全策略（CSP）
- 网站开发者可通过HTTP头设置CSP，限制资源加载来源和脚本执行。例如，添加`Content-Security-Policy: script-src 'self'`可仅允许执行本地脚本，防止外部恶意脚本注入。此方法需网站服务器支持，个人用户无法直接配置，但可倡导常访网站采用。
5. 使用脚本拦截工具
- 安装ScriptSafe等扩展，默认阻止所有脚本，仅手动允许可信站点运行。此操作可彻底防范未知脚本注入，但可能影响部分网页功能，需根据需求调整白名单。
6. 定期更新与管理插件
- 通过`chrome://extensions/`页面检查更新，及时修复安全漏洞。长期不用的插件建议卸载，减少潜在风险。若插件出现异常（如频繁弹窗），可禁用或举报至谷歌。
7. 结合其他防护措施
- 开启浏览器“安全浏览”功能，实时检测恶意网站。
- 使用HTTPS Everywhere强制加密连接，防止中间人攻击。
- 配合密码管理器（如LastPass）和反钓鱼插件（如Netcraft Extension）提升整体安全性。