IE 浏览器安全级别详情及区别小结
技术 / 管理员 发布于 7年前 385
Windows 7下IE9安全级别设置项如下表示。(留空代表同前一列的值,无变化)
| 类别 | 属性 | 中 | 中-高 | 高 |
|---|---|---|---|---|
| .NET Framework | XAML 浏览器应用程序 | 启用 | 禁用 | 禁用 |
| XPS 文档 | 启用 | 禁用 | ||
| 松散 XAML | 启用 | 禁用 | ||
| .NET Framework 相关组件 | 带有清单的权限的组件 | 高安全级 | 禁用 | |
| 运行未用 Authenticode 签名的组件 | 启用 | 禁用 | ||
| 运行已用 Authenticode 签名的组件 | 启用 | 禁用 | ||
| ActiveX 控件和插件 | ActiveX 控件自动提示 | 禁用 | 禁用 | |
| 对标记为可安全执行脚本的 ActiveX 控件执行脚本* | 启用 | 禁用 | ||
| 对未标记为可安全执行脚本的 ActiveX 控件初始化并执行脚本 | 禁用(推荐) | 禁用(推荐) | ||
| 二进制和脚本行为 | 启用 | 禁用 | ||
| 仅允许经过批准的域在未经提示的情况下使用 ActiveX | 禁用 | 启用 | 启用 | |
| 下载未签名的 ActiveX 控件 | 禁用(推荐) | 禁用(推荐) | ||
| 下载已签名的 ActiveX 控件 | 提示(推荐) | 禁用 | ||
| 允许 ActiveX 筛选 | 启用 | 启用 | ||
| 允许Scriptlet | 禁用 | 禁用 | ||
| 允许运行以前未使用的 ActiveX 控件而不提示 | 启用 | 禁用 | 禁用 | |
| 运行 ActiveX 控件和插件 | 启用 | 禁用 | ||
| 在没有使用外部媒体播放机的网页上显示视频和动画 | 禁用 | 禁用 | ||
| 脚本 | Java 小程序脚本 | 启用 | 禁用 | |
| 活动脚本 | 启用 | 禁用 | ||
| 启用 XSS 筛选器 | 启用 | 启用 | ||
| 允许对剪贴板进行编程访问 | 提示 | 禁用 | ||
| 允许网站使用脚本窗口提示获得信息 | 启用 | 禁用 | ||
| 允许状态栏通过脚本更新 | 启用 | 禁用 | 禁用 | |
| 其他 | 持续使用用户数据 | 启用 | 禁用 | |
| 加载应用程序和不安全文件 | 提示(推荐) | 提示(推荐) | ||
| 将文件上传到服务器时包含本地目录路径 | 启用 | 禁用 | 禁用 | |
| 跨域浏览窗口和框架 | 禁用 | 禁用 | ||
| 启用 MIME 探查 | 启用 | 禁用 | ||
| 使用 SmartScreen 筛选器 | 启用 | 启用 | ||
| 使用弹出窗口阻止程序 | 启用 | 启用 | ||
| 特权较少的 Web 内容区域中的网站可以定位到该区域 | 启用 | 禁用 | ||
| 提交非加密表单 | 启用 | 提示 | ||
| 通过域访问数据源 | 禁用 | 禁用 | ||
| 拖放或复制和粘贴文件 | 启用 | 提示 | ||
| 显示混合内容 | 提示 | 提示 | ||
| 允许 META REFRESH | 启用 | 禁用 | ||
| 允许 Microsoft 网页浏览器控件的脚本 | 禁用 | 禁用 | ||
| 允许脚本初始化的窗口,不受大小或位置限制 | 禁用 | 禁用 | ||
| 允许网页使用活动内容受限协议 | 提示 | 禁用 | ||
| 允许网站打开没有地址或状态栏的窗口 | 启用 | 禁用 | 禁用 | |
| 在 IFRAME 中加载程序和文件 | 提示(推荐) | 禁用 | ||
| 只存在一个证书时不提示进行客户端证书选择 | 禁用 | 禁用 | ||
| 启用 .NET Framework 安装程序 | 启用 | 禁用 | ||
| 下载 | 文件下载 | 启用 | 禁用 | |
| 字体下载 | 启用 | 禁用 | ||
| 用户验证 | 登录 | 只在 Intranet 区域自动登录 | 用户名和密码提示 |
其中,部分需要关注或科普的值如下。
XAML
Extensible Application Markup Language,一种XML的用户界面描述语言,是 .NET Framework中用来描述UI的。
http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx
Scriptlet
Scriptlet是一种将一个页面打包成组件的轻量方法。如:
<OBJECT ID="scrltCode2" TYPE="text/x-scriptlet" DATA="DateTime.html"</OBJECT>
其中DateTime.html为一个包含完整功能的html页面。
http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx
Authenticode
一种对从web下载的应用的签名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx
XSS 筛选器
自IE8增加的XSS保护功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss
允许对剪贴板进行编程访问
常用的“点击复制”类似的功能,需要考虑在禁用此项时的容错方案。
将文件上传到服务器时包含本地目录路径
若禁用,上传文件时将得到类似这样的地址:
C:\fakepath\xxxxxx.png
解决办法见后续文章。
MIME 探查
通过探查MIME类型来确定文件类型。不会将文件类型提升为更危险的文件类型。例如,以纯文本接收的但包含 HTML 代码的文件将不会提升为 HTML 类型,因为其中可能包含恶意代码。
显示混合内容
即在HTTPS的页面中包含HTTP的请求时,会出现提示。
允许 META REFRESH
因此在做浏览器端的redirect时,不能仅做meta refresh,而需要使用下面的兼容方法:
<html> <head> <meta http-equiv="refresh" content="0;url="> </head> <body> <script type="text/javascript"> window.location.href='https:'; </script> </body> </html>
上一条:
提高代码可读性的十大注释技巧分享
下一条:
关于图片存储格式的整理(JPEG格式介绍)
- 近期文章
- 在go语言中使用api.geonames.org接口实现根据国际邮政编码获取地址信息功能(1个评论)
- 在go语言中使用github.com/signintech/gopdf实现生成pdf分页文件功能(0个评论)
- gmail发邮件报错:534 5.7.9 Application-specific password required...解决方案(0个评论)
- 欧盟关于强迫劳动的规定的官方举报渠道及官方举报网站(0个评论)
- 在go语言中使用github.com/signintech/gopdf实现生成pdf文件功能(0个评论)
- Laravel从Accel获得5700万美元A轮融资(0个评论)
- 在go + gin中gorm实现指定搜索/区间搜索分页列表功能接口实例(0个评论)
- 在go语言中实现IP/CIDR的ip和netmask互转及IP段形式互转及ip是否存在IP/CIDR(0个评论)
- PHP 8.4 Alpha 1现已发布!(0个评论)
- Laravel 11.15版本发布 - Eloquent Builder中添加的泛型(0个评论)
- 近期评论
-
122 在
学历:一种延缓就业设计,生活需求下的权衡之选中评论 工作几年后,报名考研了,到现在还没认真学习备考,迷茫中。作为一名北漂互联网打工人.. -
123 在
Clash for Windows作者删库跑路了,github已404中评论 按理说只要你在国内,所有的流量进出都在监控范围内,不管你怎么隐藏也没用,想搞你分.. -
原梓番博客 在
在Laravel框架中使用模型Model分表最简单的方法中评论 好久好久都没看友情链接申请了,今天刚看,已经添加。.. -
博主 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了,可以看看近期评论的其他文章.. -
1111 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 网站不能打开,博主百忙中能否发个APP下载链接,佛跳墙或极光..
Copyright·© 2019 侯体宗版权所有·
粤ICP备20027696号
