排查问题时,定位到可能和当前浏览器的安全级别设置有关,顺便整理了下Windows 7下IE9安全级别的详情内容,及各安全级别下的默认设置差异
Windows 7下IE9安全级别设置项如下表示。(留空代表同前一列的值,无变化)
类别 |
属性 |
中 |
中-高 |
高 |
.NET Framework |
XAML 浏览器应用程序 |
启用 |
禁用 |
禁用 |
|
XPS 文档 |
启用 |
|
禁用 |
|
松散 XAML |
启用 |
|
禁用 |
.NET Framework 相关组件
|
带有清单的权限的组件 |
高安全级 |
|
禁用
|
|
运行未用 Authenticode 签名的组件 |
启用 |
|
禁用
|
|
运行已用 Authenticode 签名的组件
|
启用 |
|
禁用
|
ActiveX 控件和插件 |
ActiveX 控件自动提示 |
禁用 |
|
禁用
|
|
对标记为可安全执行脚本的 ActiveX 控件执行脚本* |
启用 |
|
禁用
|
|
对未标记为可安全执行脚本的 ActiveX 控件初始化并执行脚本
|
禁用(推荐) |
|
禁用(推荐)
|
|
二进制和脚本行为 |
启用 |
|
禁用 |
|
仅允许经过批准的域在未经提示的情况下使用 ActiveX |
禁用 |
启用 |
启用
|
|
下载未签名的 ActiveX 控件 |
禁用(推荐) |
|
禁用(推荐)
|
|
下载已签名的 ActiveX 控件
|
提示(推荐) |
|
禁用 |
|
允许 ActiveX 筛选 |
启用 |
|
启用
|
|
允许Scriptlet |
禁用 |
|
禁用 |
|
允许运行以前未使用的 ActiveX 控件而不提示 |
启用 |
禁用 |
禁用 |
|
运行 ActiveX 控件和插件 |
启用 |
|
禁用 |
|
在没有使用外部媒体播放机的网页上显示视频和动画 |
禁用 |
|
禁用 |
脚本 |
Java 小程序脚本 |
启用 |
|
禁用 |
|
活动脚本 |
启用 |
|
禁用 |
|
启用 XSS 筛选器 |
启用 |
|
启用
|
|
允许对剪贴板进行编程访问 |
提示 |
|
禁用 |
|
允许网站使用脚本窗口提示获得信息 |
启用 |
|
禁用 |
|
允许状态栏通过脚本更新 |
启用 |
禁用 |
禁用 |
其他 |
持续使用用户数据 |
启用 |
|
禁用 |
|
加载应用程序和不安全文件 |
提示(推荐) |
|
提示(推荐)
|
|
将文件上传到服务器时包含本地目录路径 |
启用 |
禁用 |
禁用 |
|
跨域浏览窗口和框架 |
禁用 |
|
禁用 |
|
启用 MIME 探查 |
启用 |
|
禁用 |
|
使用 SmartScreen 筛选器 |
启用 |
|
启用
|
|
使用弹出窗口阻止程序 |
启用 |
|
启用
|
|
特权较少的 Web 内容区域中的网站可以定位到该区域 |
启用 |
|
禁用 |
|
提交非加密表单 |
启用 |
|
提示 |
|
通过域访问数据源 |
禁用 |
|
禁用 |
|
拖放或复制和粘贴文件 |
启用 |
|
提示 |
|
显示混合内容 |
提示 |
|
提示 |
|
允许 META REFRESH |
启用 |
|
禁用 |
|
允许 Microsoft 网页浏览器控件的脚本 |
禁用 |
|
禁用 |
|
允许脚本初始化的窗口,不受大小或位置限制 |
禁用 |
|
禁用 |
|
允许网页使用活动内容受限协议 |
提示 |
|
禁用 |
|
允许网站打开没有地址或状态栏的窗口 |
启用 |
禁用 |
禁用 |
|
在 IFRAME 中加载程序和文件 |
提示(推荐) |
|
禁用 |
|
只存在一个证书时不提示进行客户端证书选择 |
禁用 |
|
禁用 |
启用 .NET Framework 安装程序 |
|
启用 |
|
禁用 |
下载 |
文件下载 |
启用 |
|
禁用 |
|
字体下载 |
启用 |
|
禁用 |
用户验证 |
登录 |
只在 Intranet 区域自动登录 |
|
用户名和密码提示 |
其中,部分需要关注或科普的值如下。
XAML
Extensible Application Markup Language,一种XML的用户界面描述语言,是 .NET Framework中用来描述UI的。
http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx
Scriptlet
Scriptlet是一种将一个页面打包成组件的轻量方法。如:
<OBJECT ID="scrltCode2"
TYPE="text/x-scriptlet"
DATA="DateTime.html"
</OBJECT>
其中DateTime.html为一个包含完整功能的html页面。
http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx
Authenticode
一种对从web下载的应用的签名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx
XSS 筛选器
自IE8增加的XSS保护功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss
允许对剪贴板进行编程访问
常用的“点击复制”类似的功能,需要考虑在禁用此项时的容错方案。
将文件上传到服务器时包含本地目录路径
若禁用,上传文件时将得到类似这样的地址:
C:\fakepath\xxxxxx.png
解决办法见后续文章。
MIME 探查
通过探查MIME类型来确定文件类型。不会将文件类型提升为更危险的文件类型。例如,以纯文本接收的但包含 HTML 代码的文件将不会提升为 HTML 类型,因为其中可能包含恶意代码。
显示混合内容
即在HTTPS的页面中包含HTTP的请求时,会出现提示。
允许 META REFRESH
因此在做浏览器端的redirect时,不能仅做meta refresh,而需要使用下面的兼容方法:
<html>
<head>
<meta http-equiv="refresh" content="0;url=//www.jb51.net/">
</head>
<body>
<script type="text/javascript">
window.location.href='//www.jb51.net/';
</script>
</body>
</html> |