IE 浏览器安全级别详情及区别小结

作者:mdxy-dxy 时间:2022-05-28 20:24:16 

Windows 7下IE9安全级别设置项如下表示。(留空代表同前一列的值,无变化)

类别属性中-高
.NET FrameworkXAML 浏览器应用程序启用禁用禁用

XPS 文档启用
禁用

松散 XAML启用
禁用

.NET Framework 相关组件

带有清单的权限的组件高安全级

禁用


运行未用 Authenticode 签名的组件启用

禁用


运行已用 Authenticode 签名的组件

启用

禁用

ActiveX 控件和插件ActiveX 控件自动提示禁用

禁用


对标记为可安全执行脚本的 ActiveX 控件执行脚本*启用

禁用


对未标记为可安全执行脚本的 ActiveX 控件初始化并执行脚本

禁用(推荐)

禁用(推荐)


二进制和脚本行为启用
禁用

仅允许经过批准的域在未经提示的情况下使用 ActiveX禁用启用

启用


下载未签名的 ActiveX 控件禁用(推荐)

禁用(推荐)


下载已签名的 ActiveX 控件

提示(推荐)
禁用

允许 ActiveX 筛选启用

启用


允许Scriptlet禁用
禁用

允许运行以前未使用的 ActiveX 控件而不提示启用禁用禁用

运行 ActiveX 控件和插件启用
禁用

在没有使用外部媒体播放机的网页上显示视频和动画禁用
禁用
脚本Java 小程序脚本启用
禁用

活动脚本启用
禁用

启用 XSS 筛选器启用

启用


允许对剪贴板进行编程访问提示
禁用

允许网站使用脚本窗口提示获得信息启用
禁用

允许状态栏通过脚本更新启用禁用禁用
其他持续使用用户数据启用
禁用

加载应用程序和不安全文件提示(推荐)

提示(推荐)


将文件上传到服务器时包含本地目录路径启用禁用禁用

跨域浏览窗口和框架禁用
禁用

启用 MIME 探查启用
禁用

使用 SmartScreen 筛选器启用

启用


使用弹出窗口阻止程序启用

启用


特权较少的 Web 内容区域中的网站可以定位到该区域启用
禁用

提交非加密表单启用
提示

通过域访问数据源禁用
禁用

拖放或复制和粘贴文件启用
提示

显示混合内容提示
提示

允许 META REFRESH启用
禁用

允许 Microsoft 网页浏览器控件的脚本禁用
禁用

允许脚本初始化的窗口,不受大小或位置限制禁用
禁用

允许网页使用活动内容受限协议提示
禁用

允许网站打开没有地址或状态栏的窗口启用禁用禁用

在 IFRAME 中加载程序和文件提示(推荐)
禁用

只存在一个证书时不提示进行客户端证书选择禁用
禁用
启用 .NET Framework 安装程序
启用
禁用
下载文件下载启用
禁用

字体下载启用
禁用
用户验证登录只在 Intranet 区域自动登录
用户名和密码提示

其中,部分需要关注或科普的值如下。

XAML
Extensible Application Markup Language,一种XML的用户界面描述语言,是 .NET Framework中用来描述UI的。

http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx

Scriptlet
Scriptlet是一种将一个页面打包成组件的轻量方法。如:


<OBJECT ID="scrltCode2"
TYPE="text/x-scriptlet"
DATA="DateTime.html"
</OBJECT>

其中DateTime.html为一个包含完整功能的html页面。

http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx

Authenticode

一种对从web下载的应用的签名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx

XSS 筛选器

自IE8增加的XSS保护功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss

允许对剪贴板进行编程访问
常用的“点击复制”类似的功能,需要考虑在禁用此项时的容错方案。

将文件上传到服务器时包含本地目录路径

若禁用,上传文件时将得到类似这样的地址:

C:\fakepath\xxxxxx.png

解决办法见后续文章。

MIME 探查
通过探查MIME类型来确定文件类型。不会将文件类型提升为更危险的文件类型。例如,以纯文本接收的但包含 HTML 代码的文件将不会提升为 HTML 类型,因为其中可能包含恶意代码。

显示混合内容
即在HTTPS的页面中包含HTTP的请求时,会出现提示。

允许 META REFRESH
因此在做浏览器端的redirect时,不能仅做meta refresh,而需要使用下面的兼容方法:


<html>
<head>
<meta http-equiv="refresh" content="0;url=https://www.jb51.net/">
</head>
<body>
<script type="text/javascript">
window.location.href='https://www.jb51.net/';
</script>
</body>
</html>
标签:IE,浏览器,安全级别
0
投稿

猜你喜欢

  • Python时间模块datetime、time、calendar的使用方法

    2023-04-02 06:44:16
  • SQL Server查询速度慢原因及优化方法

    2008-12-03 15:19:00
  • keras 特征图可视化实例(中间层)

    2021-12-05 22:54:46
  • Python爬虫框架Scrapy基本用法入门教程

    2021-08-17 19:50:45
  • 如何在ASP中使用SQL存储过程

    2008-02-26 12:09:00
  • Go外部依赖包从vendor,$GOPATH和$GOPATH/pkg/mod查找顺序

    2024-04-28 10:49:59
  • Python爬虫抓取技术的一些经验

    2021-06-09 12:02:23
  • 浅谈javascript面向对象编程

    2009-03-03 12:04:00
  • Python编程实现微信企业号文本消息推送功能示例

    2022-09-30 19:45:19
  • 增强网站的魅力 网页制作技巧三则

    2007-10-04 10:06:00
  • python GUI库图形界面开发之pyinstaller打包python程序为exe安装文件

    2021-03-29 23:02:58
  • Linux系统(CentOS)下python2.7.10安装

    2021-04-02 19:27:50
  • python进阶教程之异常处理

    2023-10-14 23:04:17
  • jQuery 横向滚动图片

    2009-03-11 13:09:00
  • python中类的输出或类的实例输出为<__main__类名 object at xxxx>这种形式的原因

    2021-01-15 17:21:46
  • 用Mysql查询语句记录

    2011-02-16 12:29:00
  • python对csv文件追加写入列的方法

    2022-11-14 01:56:29
  • 详细说明关于Java的数据库连接(JDBC)

    2024-01-18 09:00:16
  • go语言处理TCP拆包/粘包的具体实现

    2023-08-25 12:19:00
  • Python实现Opencv cv2.Canny()边缘检测

    2022-12-01 13:26:37
  • asp之家 网络编程 m.aspxhome.com