小书签基本上是在网站上运行的一段 Javascript。因此，它可以访问您在网站上的所有数据。大多数书签不会对您的数据做任何事情，但这当然是可能的，您应该始终小心。

这是非常危险的。 这种攻击的另一个术语是自我造成的 XSS。 本文描述了一种恶意软件，它说服其用户执行其 javascript 有效负载，然后使用 Facebook 聊天来说服您的朋友执行相同的代码。从而像蠕虫一样传播。

您还应该始终小心小书签访问哪些资源。例如，一件既有用又危险的事情是创建一个新的脚本标签并将其添加到页面的正文中。这允许脚本在该页面中运行，并且 AFAIK 它的访问限制与“常规方式”加载的任何其他脚本相同。我已经在 Firebug Lite 和 Delicious 中看到过这样的 bookmarlets，但可能还有更多。

用处是显而易见的：使用该页面数据，您可以做更多、更复杂的任务。但是风险并不总是很明显，因为即使您自己查看了脚本并且发现它没有问题，如果您不控制脚本来自的站点，您永远无法确定它不会被替换为一个不太安全甚至是恶意的。

另一方面，我假设脚本（来自不同的来源）将无法代表您发出 HTTP 请求，因此它的损害将仅限于浏览器中已经存在的数据。但我不确定这一点，也许对浏览器访问权限更了解的人可以回答这个问题。