IE 浏览器安全级别详情及区别

标签: Web开发 IE 安全 | 发表时间:2013-03-21 00:21 | 作者:大魔
出处:http://www.impng.com

排查问题时,定位到可能和当前浏览器的安全级别设置有关,顺便整理了下Windows 7下IE9安全级别的详情内容,及各安全级别下的默认设置差异。

Windows 7下IE9安全级别设置项如下表示。(留空代表同前一列的值,无变化)

类别 属性 中-高
.NET Framework XAML 浏览器应用程序 启用 禁用 禁用
XPS 文档 启用 禁用
松散 XAML 启用 禁用
.NET Framework 相关组件
带有清单的权限的组件 高安全级
禁用 
运行未用 Authenticode 签名的组件 启用
禁用 
运行已用 Authenticode 签名的组件
启用
禁用 
ActiveX 控件和插件 ActiveX 控件自动提示 禁用
禁用 
对标记为可安全执行脚本的 ActiveX 控件执行脚本* 启用
禁用 
对未标记为可安全执行脚本的 ActiveX 控件初始化并执行脚本
禁用(推荐)
禁用(推荐)
二进制和脚本行为 启用 禁用
仅允许经过批准的域在未经提示的情况下使用 ActiveX 禁用 启用
启用
下载未签名的 ActiveX 控件 禁用(推荐)
禁用(推荐)
下载已签名的 ActiveX 控件
提示(推荐) 禁用
允许 ActiveX 筛选 启用
启用
允许Scriptlet 禁用 禁用
允许运行以前未使用的 ActiveX 控件而不提示 启用 禁用 禁用
运行 ActiveX 控件和插件 启用 禁用
在没有使用外部媒体播放机的网页上显示视频和动画 禁用 禁用
脚本 Java 小程序脚本 启用 禁用
活动脚本 启用 禁用
启用 XSS 筛选器 启用
启用
允许对剪贴板进行编程访问 提示 禁用
允许网站使用脚本窗口提示获得信息 启用 禁用
允许状态栏通过脚本更新 启用 禁用 禁用
其他 持续使用用户数据 启用 禁用
加载应用程序和不安全文件 提示(推荐)
提示(推荐)
将文件上传到服务器时包含本地目录路径 启用 禁用 禁用
跨域浏览窗口和框架 禁用 禁用
启用 MIME 探查 启用 禁用
使用 SmartScreen 筛选器 启用
启用
使用弹出窗口阻止程序 启用
启用
特权较少的 Web 内容区域中的网站可以定位到该区域 启用 禁用
提交非加密表单 启用 提示
通过域访问数据源 禁用 禁用
拖放或复制和粘贴文件 启用 提示
显示混合内容 提示 提示
允许 META REFRESH 启用 禁用
允许 Microsoft 网页浏览器控件的脚本 禁用 禁用
允许脚本初始化的窗口,不受大小或位置限制 禁用 禁用
允许网页使用活动内容受限协议 提示 禁用
允许网站打开没有地址或状态栏的窗口 启用 禁用 禁用
在 IFRAME 中加载程序和文件 提示(推荐) 禁用
只存在一个证书时不提示进行客户端证书选择 禁用 禁用
启用 .NET Framework 安装程序 启用 禁用
下载 文件下载 启用 禁用
字体下载 启用 禁用
用户验证 登录 只在 Intranet 区域自动登录 用户名和密码提示

其中,部分需要关注或科普的值如下。

XAML

Extensible Application Markup Language,一种XML的用户界面描述语言,是 .NET Framework中用来描述UI的。
http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx

Scriptlet

Scriptlet是一种将一个页面打包成组件的轻量方法。如:

<OBJECT ID="scrltCode2"
    TYPE="text/x-scriptlet"
    DATA="DateTime.html"
</OBJECT>

其中DateTime.html为一个包含完整功能的html页面。
http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx

Authenticode

一种对从web下载的应用的签名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx

XSS 筛选器

自IE8增加的XSS保护功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss

允许对剪贴板进行编程访问

常用的“点击复制”类似的功能,需要考虑在禁用此项时的容错方案。

将文件上传到服务器时包含本地目录路径

若禁用,上传文件时将得到类似这样的地址:

C:\fakepath\xxxxxx.png

解决办法见后续文章。

MIME 探查

通过探查MIME类型来确定文件类型。不会将文件类型提升为更危险的文件类型。例如,以纯文本接收的但包含 HTML 代码的文件将不会提升为 HTML 类型,因为其中可能包含恶意代码。

显示混合内容

即在HTTPS的页面中包含HTTP的请求时,会出现提示。

允许 META REFRESH

因此在做浏览器端的redirect时,不能仅做meta refresh,而需要使用下面的兼容方法:

<html>
<head>
<meta http-equiv="refresh" content="0;url=http://www.impng.com/">
</head>
<body>
<script type="text/javascript">
window.location.href='http://www.impng.com/';
</script>
</body>
</html>

相关 [ie 浏览器 安全] 推荐:

IE 浏览器说 Google 帐户登录界面不安全

- 瑠音北樟 - 谷奥——探寻谷歌的奥秘
感谢读者 crazyhmx 的爆料. 今天,许多人都发现了用内置了防钓鱼功能的IE 8、9浏览器无法登录Google帐户了,当你试图登录跳转到accounts.google.com的时候,IE浏览器说这个网站不安全,建议你不要继续(如上图). 尤其对于IE9用户来说,想登录Google帐户是完全没可能的了,除非换用其它浏览器.

IE 浏览器安全级别详情及区别

- - 大魔 I'm Png
排查问题时,定位到可能和当前浏览器的安全级别设置有关,顺便整理了下Windows 7下IE9安全级别的详情内容,及各安全级别下的默认设置差异. Windows 7下IE9安全级别设置项如下表示. (留空代表同前一列的值,无变化). .NET Framework 相关组件. 运行未用 Authenticode 签名的组件.

微软新推浏览器安全评分网站 IE领先竞争对手

- 米十三 - cnBeta.COM
微软周二推出一个名为yourbrowsermatters.org的网站,对各种版本微软IE浏览器以及谷歌和Mozilla等竞争对手制作的浏览器进行安全评分. 这个新网站让浏览器通过一个安全功能检查表,然后对浏览器进行评分,最高评分是4. 毫不奇怪,微软IE9获得满分4分. 谷歌上个月推出的Chrome 14浏览器获得2.5分.

IE 浏览器的创新

- - 博客 - 伯乐在线
译者按:IE 曾是 web 创新的先驱,但最近几年因为对 web 标准的支持落后于其他 浏览器以及低版本 IE 的各种 bug 而被人诟病. Zakas 带我们回顾了 IE 在 web 发展过程中扮演的辉煌角色,让我们能以一个更客观的眼光来看待 IE. 看完这篇文章,也许大家都会对 IE 浏览器有一定的改观,这也是我翻译这篇文章的目的.

AngularJS的IE浏览器兼容性

- - JavaScript - Web前端 - ITeye博客
        如果你要让你的AngularJS应用兼容IE8和IE8以下的版本的话,你需要做一些特殊处理. 要让你的AngularJS应用在IE中正常运行你必须:.     a.确保JSON字符串能被正常解析(IE7需要),你可以使用JSON2或者JSON3来实现.     b.不能使用自定义的元素标签,如(你只能使用属性的形式,如
).

“IE浏览器用户智商低”被证实是假消息

- 韡 - 互联网的那点事
最近,“IE浏览器用户智商低”的新闻被国内外各大媒体广泛报道. 然而,BBC经过调查,发现这是一条精心制造的假新闻. 这一结论最初来自一家名为AptiQuant的加拿大心理测试机构7月28日发布的新闻稿(附有非常专业的调查报告),称有10万人参与的网上调查结果表明,IE用户的智商低于其他浏览器用户.

假新闻:IE浏览器用户智商低

- 飞 - BBC 中文网| 中文网主页
假消息称,对比各类浏览器用户的智商,IE最低,引发媒体盲目追捧该消息. 周三(8月3日),一条特抢眼的新闻“Internet Explorer浏览器用户的智商更低”广为流传,谁也没料到这是一条假新闻. 包括BBC,CNN, 《每日邮报》、《每日电讯报》和《福布斯》杂志在内的各大主流媒体都被报道了这条假新闻.

Chrome超越IE成全球第一大浏览器(图)

- - 业界
全球范围内,Chrome的份额已经超越了IE. 中国市场上IE仍然遥遥领先. 北京时间5月21日下午消息,美国市场研究公司Statcounter的数据显示,截至今年5月,Chrome已超越IE,成为全球第一大浏览器. Firefox和Safari位居第三和第四位. 数据显示,今年5月Chrome浏览器的全球份额约为33%,超越IE的32%全球居首.

关于IE、火狐等浏览器兼容问题的总结

- - 博客园_首页
   今天整理系统,发现系统很多页面,只有在IE6下显示正常,其它的都不正常,很是奇怪. 所以上网找了一些关于浏览器兼容的问题和解决办法,在此我觉得大牛们总结的比较精彩,分享给网友们. 以下两种方法几乎能解决现今所有兼容.. 1, !important (不是很推荐,用下面的一种感觉最安全). 随着IE7对!important的支持, !important 方法现在只针对IE6的兼容.(注意写法.记得该声明位置需要提前.).