إن كنت تعتقد أن إلغاء تفعيل جافاسكربت في متصفحك يحقق الحماية المطلقة على الويب فأنت مخطئ.

الكثير من الآليات الهجومية لا تعتمد بالأساس على جافاسكربت أو يمكن للمهاجم إستخدام بدائل لإتمامها مثل مسجلات ضغطات لوحة المفاتيح التي تعمل فقط عبر css، نعم لقد قرأتها بشكل صحيح يستطيع المهاجم حقن أكواد css تعمل على إستدعاء صور ما لصفحة الويب فقط إن تحقق شرط أن الحرف الأول من حقل إدخال هو “a” مثلاً وبإضافة أمر إستدعاء لصور مختلفة مختلفة لباقي الأحرف ولباقي الخانات من خادم يملكه المهاجم فسيتمكن في النهاية من معرفة مدخلات المستخدم بمراجعة الطلبات التي وردت للخادم بغض النظر عن التشفير المستخدم في الإتصال وبغض النظر عن تعطيل جافاسكربت.