Значительная доля вины тут лежит на разрабах Firefox и TorBrowser.Разрабы файрфокса завязали некоторые внутренние компоненты на тот же доступ к JS, который контролируется javascript.enabled, так что если выставить в false - полбраузера не работает, включая pdf.js. Открывается пустое окно, где даже кнопка "скачать" не работает. Результат один - народ отключит safest, как только увидит, что штатные функции браузера сломаны им. Но это в принципе пофиг - те, кому нужно качать PDFы качают и открывают их нормальными PDF-просмотрщиками не смотря на все предупреждения TorBrowser о том, что в pdfках могут быть цифровые подписи, которые просмотрщик в большинстве случаев проверит на отзыв ключа, если это не отключено, проведя деанон. Можно было бы просто выключить pdf.js, это мало что поменяло бы. Специально или нет так сделано - сами думайте.
Разрабы торбраузера вместо того, чтобы это исправить, например вывести внутренние компоненты из под javascript.enabled, если надо, то поправив С++ код, положились на говnoscript. Специально или нет так сделано - сами думайте.
Теперь про noscript. Положиться на CSP для блокировки JS небезопасно, ведь
* сайты сами CSP определяют, тут либо всю csp от сайта ффтoпку, либо сливать.
* в Firefox аддоны переопределяют CSP друг друга, и Могилла отказалась делать слитие CSP.
Поэтому единственный вариант - это вмешиваться в траффик, парсить HTML и XML и вырезать всё, что может быть JS. При этом API для парсинга HTML Могилла не предоставляет. Как не предоставляет API доя того, чтобы вклиниться между веб-страницей и движком браузера и решать, какие функции доступны.
Учитывая в добавок все предыдущие позиции Могиллы, а именно удаление отключения JS из GUI, блокировку доступа в about:config на fenix и удаление настройки для отключения воркеров, всё встаёт на свои места: становится понятно, что блокировка компонентов веб-страниц и опасных функций противоречит долговременной стратегии Могиллы и её основных спонсоров и будет выпиливаться.
К тому же Maone - вообще очень мутный тип, не внушающий доверия. Список претензий к его технополитическим решениям, таким как зашивание и активация по-умолчанию белого списка, в рамках разработки noscript можно найти в его репозитории.
Но виноват во всём, разумеется, TorProject. Это они приняли решение не патчить эти аспекты Firefoxа, если надо, переписав его половину, это они положились на NoScript, это они выбрали tradeof в пользу работы малонужных функций браузера в ущерб безопасности, это они явно не предупредили каждого пользователя, что ну не смогли они обеспечить защиту от включения JavaScript.