हम TorScript को डिफ़ॉल्ट रूप से Tor Browser में अनुमति देने के लिए NoScript कॉन्फ़िगर करते हैं क्योंकि कई वेबसाइट जावास्क्रिप्ट अक्षम के साथ काम नहीं करेंगी। अधिकांश उपयोगकर्ता टो पर पूरी तरह से छोड़ देते हैं यदि वे जिस वेबसाइट का उपयोग करना चाहते हैं, उन्हें जावास्क्रिप्ट की आवश्यकता होती है, क्योंकि उन्हें नहीं पता होगा कि किसी वेबसाइट को जावास्क्रिप्ट का उपयोग करने की अनुमति कैसे दी जाती है (या जावास्क्रिप्ट को सक्षम करने से वेबसाइट काम कर सकती है)।
यहां एक ट्रेडऑफ है। एक ओर, हमें डिफ़ॉल्ट रूप से सक्षम जावास्क्रिप्ट को छोड़ देना चाहिए ताकि वेबसाइटें उपयोगकर्ताओं की अपेक्षा के अनुरूप काम करें। दूसरी ओर, हमें ब्राउज़र की कमज़ोरियों से बचाने के लिए डिफ़ॉल्ट रूप से जावास्क्रिप्ट को अक्षम करना चाहिए (न कि केवल एक सैद्धांतिक चिंता!)। लेकिन एक तीसरा मुद्दा है: वेबसाइटें आसानी से निर्धारित कर सकती हैं कि क्या आपने उनके लिए जावास्क्रिप्ट की अनुमति दी है, और यदि आप डिफ़ॉल्ट रूप से जावास्क्रिप्ट को अक्षम करते हैं, लेकिन फिर कुछ वेबसाइटों को स्क्रिप्ट चलाने के लिए अनुमति देते हैं (जिस तरह से अधिकांश लोग NoScript का उपयोग करते हैं), तो आपकी पसंद की श्वेत सूची वेबसाइट कार्य करती है कुकी के एक प्रकार के रूप में, जो आपको पहचानने योग्य (और अलग-अलग) बनाता है, इस प्रकार आपकी गुमनामी को नुकसान पहुँचाता है।
अंतत: हम चाहते हैं कि डिफ़ॉल्ट टोर बंडलों का उपयोग फायरवॉल के संयोजन (पूंछों में आईपलेट नियम) और सैंडबॉक्स को जावास्क्रिप्ट को इतना डरावना न बनाने के लिए करें। छोटी अवधि में, टीबीबी 3.0 उम्मीद करेगा कि उपयोगकर्ता अपनी जावास्क्रिप्ट सेटिंग्स को और अधिक आसानी से चुन सकेंगे - लेकिन विभाजन की चिंता बनी रहेगी।
जब तक हम वहां नहीं पहुंचते, तब तक अपनी सुरक्षा, गुमनामी और प्रयोज्य प्राथमिकताओं के आधार पर जावास्क्रिप्ट को चालू या बंद करने के लिए स्वतंत्र महसूस करें।