源码网,源码论坛,源码之家,商业源码,游戏源码下载,discuz插件,棋牌源码下载,精品源码论坛

 找回密码
 立即注册
查看: 1149|回复: 18

[相关技巧] IE 浏览器安全级别详情及区别小结

[复制链接]

7万

主题

861

回帖

32万

积分

论坛元老

Rank: 8Rank: 8

积分
329525
发表于 2018-12-26 16:47:24 | 显示全部楼层 |阅读模式
排查问题时,定位到可能和当前浏览器的安全级别设置有关,顺便整理了下Windows 7下IE9安全级别的详情内容,及各安全级别下的默认设置差异

Windows 7下IE9安全级别设置项如下表示。(留空代表同前一列的值,无变化)

类别 属性 中-高
.NET Framework XAML 浏览器应用程序 启用 禁用 禁用
XPS 文档 启用 禁用
松散 XAML 启用 禁用
.NET Framework 相关组件 带有清单的权限的组件 高安全级 禁用
运行未用 Authenticode 签名的组件 启用 禁用
运行已用 Authenticode 签名的组件 启用 禁用
ActiveX 控件和插件 ActiveX 控件自动提示 禁用 禁用
对标记为可安全执行脚本的 ActiveX 控件执行脚本* 启用 禁用
对未标记为可安全执行脚本的 ActiveX 控件初始化并执行脚本 禁用(推荐) 禁用(推荐)
二进制和脚本行为 启用 禁用
仅允许经过批准的域在未经提示的情况下使用 ActiveX 禁用 启用 启用
下载未签名的 ActiveX 控件 禁用(推荐) 禁用(推荐)
下载已签名的 ActiveX 控件 提示(推荐) 禁用
允许 ActiveX 筛选 启用 启用
允许Scriptlet 禁用 禁用
允许运行以前未使用的 ActiveX 控件而不提示 启用 禁用 禁用
运行 ActiveX 控件和插件 启用 禁用
在没有使用外部媒体播放机的网页上显示视频和动画 禁用 禁用
脚本 Java 小程序脚本 启用 禁用
活动脚本 启用 禁用
启用 XSS 筛选器 启用 启用
允许对剪贴板进行编程访问 提示 禁用
允许网站使用脚本窗口提示获得信息 启用 禁用
允许状态栏通过脚本更新 启用 禁用 禁用
其他 持续使用用户数据 启用 禁用
加载应用程序和不安全文件 提示(推荐) 提示(推荐)
将文件上传到服务器时包含本地目录路径 启用 禁用 禁用
跨域浏览窗口和框架 禁用 禁用
启用 MIME 探查 启用 禁用
使用 SmartScreen 筛选器 启用 启用
使用弹出窗口阻止程序 启用 启用
特权较少的 Web 内容区域中的网站可以定位到该区域 启用 禁用
提交非加密表单 启用 提示
通过域访问数据源 禁用 禁用
拖放或复制和粘贴文件 启用 提示
显示混合内容 提示 提示
允许 META REFRESH 启用 禁用
允许 Microsoft 网页浏览器控件的脚本 禁用 禁用
允许脚本初始化的窗口,不受大小或位置限制 禁用 禁用
允许网页使用活动内容受限协议 提示 禁用
允许网站打开没有地址或状态栏的窗口 启用 禁用 禁用
在 IFRAME 中加载程序和文件 提示(推荐) 禁用
只存在一个证书时不提示进行客户端证书选择 禁用 禁用
启用 .NET Framework 安装程序 启用 禁用
下载 文件下载 启用 禁用
字体下载 启用 禁用
用户验证 登录 只在 Intranet 区域自动登录 用户名和密码提示

其中,部分需要关注或科普的值如下。

XAML
Extensible Application Markup Language,一种XML的用户界面描述语言,是 .NET Framework中用来描述UI的。

http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx

Scriptlet
Scriptlet是一种将一个页面打包成组件的轻量方法。如:

<OBJECT ID="scrltCode2" 
TYPE="text/x-scriptlet" 
DATA="DateTime.html"
</OBJECT> 

其中DateTime.html为一个包含完整功能的html页面。

http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx

Authenticode

一种对从web下载的应用的签名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx

XSS 筛选器

自IE8增加的XSS保护功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss

允许对剪贴板进行编程访问
常用的“点击复制”类似的功能,需要考虑在禁用此项时的容错方案。

将文件上传到服务器时包含本地目录路径

若禁用,上传文件时将得到类似这样的地址:

C:\fakepath\xxxxxx.png

解决办法见后续文章。

MIME 探查
通过探查MIME类型来确定文件类型。不会将文件类型提升为更危险的文件类型。例如,以纯文本接收的但包含 HTML 代码的文件将不会提升为 HTML 类型,因为其中可能包含恶意代码。

显示混合内容
即在HTTPS的页面中包含HTTP的请求时,会出现提示。

允许 META REFRESH
因此在做浏览器端的redirect时,不能仅做meta refresh,而需要使用下面的兼容方法:

<html> 
<head> 
<meta http-equiv="refresh" content="0;url=//www.jb51.net/"> 
</head> 
<body> 
<script type="text/javascript"> 
window.location.href='//www.jb51.net/'; 
</script> 
</body> 
</html> 
回复

使用道具 举报

0

主题

1万

回帖

0

积分

中级会员

Rank: 3Rank: 3

积分
0
发表于 2022-9-13 21:04:46 | 显示全部楼层
借款金额看了就立刻
回复 支持 反对

使用道具 举报

4

主题

2万

回帖

303

积分

中级会员

Rank: 3Rank: 3

积分
303
发表于 2023-4-10 09:04:42 | 显示全部楼层
抽根烟,下来看看再说
回复 支持 反对

使用道具 举报

0

主题

1万

回帖

0

积分

中级会员

Rank: 3Rank: 3

积分
0
发表于 2023-11-9 22:31:25 | 显示全部楼层
哟哟哟哟哟以偶
回复 支持 反对

使用道具 举报

0

主题

2万

回帖

0

积分

中级会员

Rank: 3Rank: 3

积分
0
发表于 2024-1-23 02:55:05 | 显示全部楼层
sdsadsadsadf
回复 支持 反对

使用道具 举报

0

主题

2万

回帖

0

积分

中级会员

Rank: 3Rank: 3

积分
0
发表于 2024-4-4 09:18:51 | 显示全部楼层
啊,数码撒飒飒飒飒
回复 支持 反对

使用道具 举报

2

主题

1万

回帖

146

积分

注册会员

Rank: 2

积分
146
发表于 2024-4-29 21:09:00 | 显示全部楼层
哈哈哈哈哈哈
回复 支持 反对

使用道具 举报

16

主题

2万

回帖

174

积分

注册会员

Rank: 2

积分
174
发表于 2024-5-15 22:12:05 | 显示全部楼层
很不错的源码论坛
回复 支持 反对

使用道具 举报

1

主题

2万

回帖

321

积分

中级会员

Rank: 3Rank: 3

积分
321
发表于 2024-5-23 06:50:01 | 显示全部楼层
加快速度很快就撒谎
回复 支持 反对

使用道具 举报

2

主题

2万

回帖

221

积分

中级会员

Rank: 3Rank: 3

积分
221
发表于 2024-6-2 00:25:27 | 显示全部楼层
管灌灌灌灌灌灌灌灌灌灌
回复 支持 反对

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies

本版积分规则

手机版|小黑屋|网站地图|源码论坛 ( 海外版 )

GMT+8, 2024-11-24 12:20 , Processed in 0.073791 second(s), 26 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表