IE 浏览器说 Google 帐户登录界面不安全
- 瑠音北樟 - 谷奥——探寻谷歌的奥秘感谢读者 crazyhmx 的爆料. 今天,许多人都发现了用内置了防钓鱼功能的IE 8、9浏览器无法登录Google帐户了,当你试图登录跳转到accounts.google.com的时候,IE浏览器说这个网站不安全,建议你不要继续(如上图). 尤其对于IE9用户来说,想登录Google帐户是完全没可能的了,除非换用其它浏览器.
IE 浏览器安全级别详情及区别
标签:
Web开发
IE
安全
| 发表时间:2013-03-21 00:21 | 作者:大魔
出处:http://www.impng.com
排查问题时,定位到可能和当前浏览器的安全级别设置有关,顺便整理了下Windows 7下IE9安全级别的详情内容,及各安全级别下的默认设置差异。
Windows 7下IE9安全级别设置项如下表示。(留空代表同前一列的值,无变化)
| 类别 | 属性 | 中 | 中-高 | 高 |
|---|---|---|---|---|
| .NET Framework | XAML 浏览器应用程序 | 启用 | 禁用 | 禁用 |
| XPS 文档 | 启用 | 禁用 | ||
| 松散 XAML | 启用 | 禁用 | ||
|
.NET Framework 相关组件
|
带有清单的权限的组件 | 高安全级 |
禁用
|
|
| 运行未用 Authenticode 签名的组件 | 启用 |
禁用
|
||
|
运行已用 Authenticode 签名的组件
|
启用 |
禁用
|
||
| ActiveX 控件和插件 | ActiveX 控件自动提示 | 禁用 |
禁用
|
|
| 对标记为可安全执行脚本的 ActiveX 控件执行脚本* | 启用 |
禁用
|
||
|
对未标记为可安全执行脚本的 ActiveX 控件初始化并执行脚本
|
禁用(推荐) |
禁用(推荐)
|
||
| 二进制和脚本行为 | 启用 | 禁用 | ||
| 仅允许经过批准的域在未经提示的情况下使用 ActiveX | 禁用 | 启用 |
启用
|
|
| 下载未签名的 ActiveX 控件 | 禁用(推荐) |
禁用(推荐)
|
||
|
下载已签名的 ActiveX 控件
|
提示(推荐) | 禁用 | ||
| 允许 ActiveX 筛选 | 启用 |
启用
|
||
| 允许Scriptlet | 禁用 | 禁用 | ||
| 允许运行以前未使用的 ActiveX 控件而不提示 | 启用 | 禁用 | 禁用 | |
| 运行 ActiveX 控件和插件 | 启用 | 禁用 | ||
| 在没有使用外部媒体播放机的网页上显示视频和动画 | 禁用 | 禁用 | ||
| 脚本 | Java 小程序脚本 | 启用 | 禁用 | |
| 活动脚本 | 启用 | 禁用 | ||
| 启用 XSS 筛选器 | 启用 |
启用
|
||
| 允许对剪贴板进行编程访问 | 提示 | 禁用 | ||
| 允许网站使用脚本窗口提示获得信息 | 启用 | 禁用 | ||
| 允许状态栏通过脚本更新 | 启用 | 禁用 | 禁用 | |
| 其他 | 持续使用用户数据 | 启用 | 禁用 | |
| 加载应用程序和不安全文件 | 提示(推荐) |
提示(推荐)
|
||
| 将文件上传到服务器时包含本地目录路径 | 启用 | 禁用 | 禁用 | |
| 跨域浏览窗口和框架 | 禁用 | 禁用 | ||
| 启用 MIME 探查 | 启用 | 禁用 | ||
| 使用 SmartScreen 筛选器 | 启用 |
启用
|
||
| 使用弹出窗口阻止程序 | 启用 |
启用
|
||
| 特权较少的 Web 内容区域中的网站可以定位到该区域 | 启用 | 禁用 | ||
| 提交非加密表单 | 启用 | 提示 | ||
| 通过域访问数据源 | 禁用 | 禁用 | ||
| 拖放或复制和粘贴文件 | 启用 | 提示 | ||
| 显示混合内容 | 提示 | 提示 | ||
| 允许 META REFRESH | 启用 | 禁用 | ||
| 允许 Microsoft 网页浏览器控件的脚本 | 禁用 | 禁用 | ||
| 允许脚本初始化的窗口,不受大小或位置限制 | 禁用 | 禁用 | ||
| 允许网页使用活动内容受限协议 | 提示 | 禁用 | ||
| 允许网站打开没有地址或状态栏的窗口 | 启用 | 禁用 | 禁用 | |
| 在 IFRAME 中加载程序和文件 | 提示(推荐) | 禁用 | ||
| 只存在一个证书时不提示进行客户端证书选择 | 禁用 | 禁用 | ||
| 启用 .NET Framework 安装程序 | 启用 | 禁用 | ||
| 下载 | 文件下载 | 启用 | 禁用 | |
| 字体下载 | 启用 | 禁用 | ||
| 用户验证 | 登录 | 只在 Intranet 区域自动登录 | 用户名和密码提示 |
其中,部分需要关注或科普的值如下。
XAML
Extensible Application Markup Language,一种XML的用户界面描述语言,是 .NET Framework中用来描述UI的。
http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx
Scriptlet
Scriptlet是一种将一个页面打包成组件的轻量方法。如:
<OBJECT ID="scrltCode2"
TYPE="text/x-scriptlet"
DATA="DateTime.html"
</OBJECT>
其中DateTime.html为一个包含完整功能的html页面。
http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx
Authenticode
一种对从web下载的应用的签名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx
XSS 筛选器
自IE8增加的XSS保护功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss
允许对剪贴板进行编程访问
常用的“点击复制”类似的功能,需要考虑在禁用此项时的容错方案。
将文件上传到服务器时包含本地目录路径
若禁用,上传文件时将得到类似这样的地址:
C:\fakepath\xxxxxx.png
解决办法见后续文章。
MIME 探查
通过探查MIME类型来确定文件类型。不会将文件类型提升为更危险的文件类型。例如,以纯文本接收的但包含 HTML 代码的文件将不会提升为 HTML 类型,因为其中可能包含恶意代码。
显示混合内容
即在HTTPS的页面中包含HTTP的请求时,会出现提示。
允许 META REFRESH
因此在做浏览器端的redirect时,不能仅做meta refresh,而需要使用下面的兼容方法:
<html> <head> <meta http-equiv="refresh" content="0;url=http://www.impng.com/"> </head> <body> <script type="text/javascript"> window.location.href='http://www.impng.com/'; </script> </body> </html>
相关 [ie 浏览器 安全] 推荐:
IE 浏览器安全级别详情及区别
- - 大魔 I'm Png排查问题时,定位到可能和当前浏览器的安全级别设置有关,顺便整理了下Windows 7下IE9安全级别的详情内容,及各安全级别下的默认设置差异. Windows 7下IE9安全级别设置项如下表示. (留空代表同前一列的值,无变化). .NET Framework 相关组件. 运行未用 Authenticode 签名的组件.
微软新推浏览器安全评分网站 IE领先竞争对手
- 米十三 - cnBeta.COM微软周二推出一个名为yourbrowsermatters.org的网站,对各种版本微软IE浏览器以及谷歌和Mozilla等竞争对手制作的浏览器进行安全评分. 这个新网站让浏览器通过一个安全功能检查表,然后对浏览器进行评分,最高评分是4. 毫不奇怪,微软IE9获得满分4分. 谷歌上个月推出的Chrome 14浏览器获得2.5分.
IE 浏览器的创新
- - 博客 - 伯乐在线译者按:IE 曾是 web 创新的先驱,但最近几年因为对 web 标准的支持落后于其他 浏览器以及低版本 IE 的各种 bug 而被人诟病. Zakas 带我们回顾了 IE 在 web 发展过程中扮演的辉煌角色,让我们能以一个更客观的眼光来看待 IE. 看完这篇文章,也许大家都会对 IE 浏览器有一定的改观,这也是我翻译这篇文章的目的.
AngularJS的IE浏览器兼容性
- - JavaScript - Web前端 - ITeye博客 如果你要让你的AngularJS应用兼容IE8和IE8以下的版本的话,你需要做一些特殊处理. 要让你的AngularJS应用在IE中正常运行你必须:. a.确保JSON字符串能被正常解析(IE7需要),你可以使用JSON2或者JSON3来实现. b.不能使用自定义的元素标签,如(你只能使用属性的形式,如
).
“IE浏览器用户智商低”被证实是假消息
- 韡 - 互联网的那点事最近,“IE浏览器用户智商低”的新闻被国内外各大媒体广泛报道. 然而,BBC经过调查,发现这是一条精心制造的假新闻. 这一结论最初来自一家名为AptiQuant的加拿大心理测试机构7月28日发布的新闻稿(附有非常专业的调查报告),称有10万人参与的网上调查结果表明,IE用户的智商低于其他浏览器用户.
假新闻:IE浏览器用户智商低
- 飞 - BBC 中文网| 中文网主页假消息称,对比各类浏览器用户的智商,IE最低,引发媒体盲目追捧该消息. 周三(8月3日),一条特抢眼的新闻Internet Explorer浏览器用户的智商更低广为流传,谁也没料到这是一条假新闻. 包括BBC,CNN, 《每日邮报》、《每日电讯报》和《福布斯》杂志在内的各大主流媒体都被报道了这条假新闻.
Chrome超越IE成全球第一大浏览器(图)
- - 业界全球范围内,Chrome的份额已经超越了IE. 中国市场上IE仍然遥遥领先. 北京时间5月21日下午消息,美国市场研究公司Statcounter的数据显示,截至今年5月,Chrome已超越IE,成为全球第一大浏览器. Firefox和Safari位居第三和第四位. 数据显示,今年5月Chrome浏览器的全球份额约为33%,超越IE的32%全球居首.
关于IE、火狐等浏览器兼容问题的总结
- - 博客园_首页 今天整理系统,发现系统很多页面,只有在IE6下显示正常,其它的都不正常,很是奇怪. 所以上网找了一些关于浏览器兼容的问题和解决办法,在此我觉得大牛们总结的比较精彩,分享给网友们. 以下两种方法几乎能解决现今所有兼容.. 1, !important (不是很推荐,用下面的一种感觉最安全). 随着IE7对!important的支持, !important 方法现在只针对IE6的兼容.(注意写法.记得该声明位置需要提前.).