“不受信任的代码”启发式旨在标记包含在直接来源或预定义的安全来源列表之外托管的任何资源 ( https://code.google.com/p/domsnitch/wiki/ConfigFiles#安全起源）。这种启发式的基础是在您包含来自您不应该包含的来源的资源时提供一个信号。它不评估包含的资源是否不安全。

至于上面的示例，包含的脚本不是来自 DOM Snitch，因为扩展本身在需要将 JavaScript 代码传递到页面本身时使用内联 JavaScript。请参阅https://code.google.com/p/domsnitch/source/browse/trunk/glue/Loader.js#26。

DOM Snitch 上的文档有点稀疏，所以我只能猜测“不受信任的代码”是指来自与当前页面不同来源的 Javascript。

您提供的屏幕截图显示“不受信任的代码”是 Chrome 浏览器将通过<script>当前页面上的注入标签加载的 chrome 扩展。

扩展使用这个所谓的“内容脚本”来解析当前页面并在它打算对它做某事时做某事。并非每个扩展都会添加到每个页面。这是通过安装扩展程序时请求的权限来控制的。一些扩展程序要求访问每个页面（例如 Stylish 要求获得“您在所有网站上的数据”的权限），一些仅用于某些页面（Google Mail Checker 可以访问“您在 google.com 上的数据”），还有一些用于无（官方 GMail 应用程序）。

所以总而言之，只要你信任扩展作者，你应该是安全的。

“不受信任的代码”是通过“ safeOrigins 配置”由相对于当前资源的资源来源定义的。DOM Snitch 实现这一点的方式在我看来价值不大，因为如果当前资源被恶意修改，那么恶意元素是本地还是非本地都无关紧要。

有关 safeOrigins 配置的信息：

由 untrustedCode 启发式使用，此字段指定被视为托管脚本、CSS 和 Flash 电影的可信来源。

“safeOrigins”：[“. example.com”，“foo.example.com/example/ ”]

来源： DOM Snitch 中的配置文件