如果你在使用火狐浏览器时，遇到网页挂马、脚本越权调用系统资源，甚至疑似沙箱逃逸的情况，别急着怀疑人生。

这很可能不是浏览器本身不行，而是其内置的安全进程沙盒没有被充分启用或强化。

今天，我们就来聊聊如何手动开启并加固这道关键防线，让你的浏览体验更安心。

一、确认并启用基础进程沙盒

火狐浏览器默认会在支持的操作系统上启用进程级沙盒。但旧版系统、精简安装包或企业策略调整，都可能导致此功能被关闭。

第一步是手动确认并开启它。

操作步骤

1. 在地址栏输入 about:config 并回车，点击“接受风险并继续”。

2. 在搜索框输入 security.sandbox.content.level。

• 如果数值为 -1（完全禁用） 或 0（最低防护），风险较大。
• 双击此项，将值改为 4（当前推荐最高等级）。

3. 搜索 security.sandbox.content.disabled。

• 确保其值为 false。若为 true，请双击切换。

4. 重启 Firefox 使设置生效。

二、启用 RLBox 内存沙箱以隔离第三方库

RLBox 是火狐的独门技术。它能对字体渲染、拼写检查等第三方C/C++组件进行细粒度内存隔离。

即使这些组件存在未知漏洞（零日漏洞），RLBox也能将其限制在“安全屋”内，防止逃逸。

检查与启用方法

1. 访问 about:support 页面，找到“沙箱”区块。

2. 查看“RLBox status”状态，应为 Active。

3. 若状态为 Inactive，请返回 about:config 检查：

• 确保 dom.webgpu.enabled 值为 true。
• 建议将 gfx.webrender.all 设为 true。
• 搜索 security.sandbox.rlbox.enabled，确保值为 true。

4. 为更彻底，建议开启高危模块隔离：

• security.sandbox.rlbox.hunspell.enabled（拼写检查）设为 true。
• security.sandbox.rlbox.graphite.enabled（字体渲染）设为 true。

三、禁用高危 Web API 以压缩攻击面

一些强大的Web API可能被恶意脚本利用，进行侧信道攻击或尝试绕过内存保护。

对普通用户而言，关闭它们能显著提升安全性。

操作步骤

在 about:config 中操作：

• 搜索 javascript.options.wasm_threads，设为 false。
• 搜索 dom.sharedarraybuffer.enabled，设为 false。
• 搜索 dom.postMessage.sharedArrayBuffer，设为 false。
• 若无需语音识别，搜索 media.webspeech.recognition.enable，设为 false。

四、启用站点隔离（Project Fission）预览版

站点隔离（Project Fission）将不同来源的网站彻底分隔到独立的内容进程中。

这能从根源上阻断跨站数据窃取及Spectre等侧信道攻击。

启用须知与方法

注意：此功能主要在 Firefox Nightly（每夜构建版）和 Beta（测试版）中提供。

1. 下载安装上述版本之一。

2. 在新浏览器中打开 about:config。

• 搜索 fission.autostart，设为 true。
• 搜索 fission.site_isolation_enabled，设为 true。

3. 重启浏览器，访问 about:support。

4. 在“进程”部分查看，若出现多个带有“Site Isolation”标识的进程，即表示启用成功。

五、强化渲染器进程权限限制（Windows专属）

Windows用户可启用“Win32k锁定”机制。它能收窄渲染器进程对高危内核系统调用的访问权限，有效防御沙箱逃逸。

启用前提与步骤

启用前提：

• 系统为 Windows 10 1809 或更新版本。
• 在系统设置中启用“基于虚拟化的安全性（VBS）”（通常在“核心隔离”设置里）。

操作步骤：

1. 在 about:config 中，搜索 security.sandbox.windows.enforce-win32k-lockdown。

2. 双击将其值从 false 改为 true。

3. 确认 security.sandbox.windows.downgrade-privileges 选项值为 true。