IE 浏览器安全级别详情及区别小结
windows 7下ie9安全级别设置项如下表示。(留空代表同前一列的值,无变化)
类别 | 属性 | 中 | 中-高 | 高 |
---|---|---|---|---|
.net framework | xaml 浏览器应用程序 | 启用 | 禁用 | 禁用 |
xps 文档 | 启用 | 禁用 | ||
松散 xaml | 启用 | 禁用 | ||
.net framework 相关组件
|
带有清单的权限的组件 | 高安全级 |
禁用
|
|
运行未用 authenticode 签名的组件 | 启用 |
禁用
|
||
运行已用 authenticode 签名的组件
|
启用 |
禁用
|
||
activex 控件和插件 | activex 控件自动提示 | 禁用 |
禁用
|
|
对标记为可安全执行脚本的 activex 控件执行脚本* | 启用 |
禁用
|
||
对未标记为可安全执行脚本的 activex 控件初始化并执行脚本
|
禁用(推荐) |
禁用(推荐)
|
||
二进制和脚本行为 | 启用 | 禁用 | ||
仅允许经过批准的域在未经提示的情况下使用 activex | 禁用 | 启用 |
启用
|
|
下载未签名的 activex 控件 | 禁用(推荐) |
禁用(推荐)
|
||
下载已签名的 activex 控件
|
提示(推荐) | 禁用 | ||
允许 activex 筛选 | 启用 |
启用
|
||
允许scriptlet | 禁用 | 禁用 | ||
允许运行以前未使用的 activex 控件而不提示 | 启用 | 禁用 | 禁用 | |
运行 activex 控件和插件 | 启用 | 禁用 | ||
在没有使用外部媒体播放机的网页上显示视频和动画 | 禁用 | 禁用 | ||
脚本 | java 小程序脚本 | 启用 | 禁用 | |
活动脚本 | 启用 | 禁用 | ||
启用 xss 筛选器 | 启用 |
启用
|
||
允许对剪贴板进行编程访问 | 提示 | 禁用 | ||
允许网站使用脚本窗口提示获得信息 | 启用 | 禁用 | ||
允许状态栏通过脚本更新 | 启用 | 禁用 | 禁用 | |
其他 | 持续使用用户数据 | 启用 | 禁用 | |
加载应用程序和不安全文件 | 提示(推荐) |
提示(推荐)
|
||
将文件上传到服务器时包含本地目录路径 | 启用 | 禁用 | 禁用 | |
跨域浏览窗口和框架 | 禁用 | 禁用 | ||
启用 mime 探查 | 启用 | 禁用 | ||
使用 smartscreen 筛选器 | 启用 |
启用
|
||
使用弹出窗口阻止程序 | 启用 |
启用
|
||
特权较少的 web 内容区域中的网站可以定位到该区域 | 启用 | 禁用 | ||
提交非加密表单 | 启用 | 提示 | ||
通过域访问数据源 | 禁用 | 禁用 | ||
拖放或复制和粘贴文件 | 启用 | 提示 | ||
显示混合内容 | 提示 | 提示 | ||
允许 meta refresh | 启用 | 禁用 | ||
允许 microsoft 网页浏览器控件的脚本 | 禁用 | 禁用 | ||
允许脚本初始化的窗口,不受大小或位置限制 | 禁用 | 禁用 | ||
允许网页使用活动内容受限协议 | 提示 | 禁用 | ||
允许网站打开没有地址或状态栏的窗口 | 启用 | 禁用 | 禁用 | |
在 iframe 中加载程序和文件 | 提示(推荐) | 禁用 | ||
只存在一个证书时不提示进行客户端证书选择 | 禁用 | 禁用 | ||
启用 .net framework 安装程序 | 启用 | 禁用 | ||
下载 | 文件下载 | 启用 | 禁用 | |
字体下载 | 启用 | 禁用 | ||
用户验证 | 登录 | 只在 intranet 区域自动登录 | 用户名和密码提示 |
其中,部分需要关注或科普的值如下。
xaml
extensible application markup language,一种xml的用户界面描述语言,是 .net framework中用来描述ui的。
http://zh.wikipedia.org/wiki/xaml
scriptlet
scriptlet是一种将一个页面打包成组件的轻量方法。如:
<object id="scrltcode2" type="text/x-scriptlet" data="datetime.html" </object>
其中datetime.html为一个包含完整功能的html页面。
authenticode
一种对从web下载的应用的签名方法。
xss 筛选器
自ie8增加的xss保护功能。
http://windows.microsoft.com/zh-cn/internet-explorer/products/ie-8/features/safer?tab=ie8xss
允许对剪贴板进行编程访问
常用的“点击复制”类似的功能,需要考虑在禁用此项时的容错方案。
将文件上传到服务器时包含本地目录路径
若禁用,上传文件时将得到类似这样的地址:
c:\fakepath\xxxxxx.png
解决办法见后续文章。
mime 探查
通过探查mime类型来确定文件类型。不会将文件类型提升为更危险的文件类型。例如,以纯文本接收的但包含 html 代码的文件将不会提升为 html 类型,因为其中可能包含恶意代码。
显示混合内容
即在https的页面中包含http的请求时,会出现提示。
允许 meta refresh
因此在做浏览器端的redirect时,不能仅做meta refresh,而需要使用下面的兼容方法:
<html> <head> <meta http-equiv="refresh" content="0;url=//www.jb51.net/"> </head> <body> <script type="text/javascript"> window.location.href='//www.jb51.net/'; </script> </body> </html>
上一篇: JS 实现请求调度器