IE 浏览器安全级别详情及区别小结

Windows 7下IE9安全级别设置项如下表示。(留空代表同前一列的值,无变化)

类别 属性 中-高
.NET Framework XAML 浏览器应用程序 启用 禁用 禁用
XPS 文档 启用 禁用
松散 XAML 启用 禁用

.NET Framework 相关组件
带有清单的权限的组件 高安全级
禁用
运行未用 Authenticode 签名的组件 启用
禁用

运行已用 Authenticode 签名的组件
启用
禁用
ActiveX 控件和插件 ActiveX 控件自动提示 禁用
禁用
对标记为可安全执行脚本的 ActiveX 控件执行脚本* 启用
禁用

对未标记为可安全执行脚本的 ActiveX 控件初始化并执行脚本
禁用(推荐)
禁用(推荐)
二进制和脚本行为 启用 禁用
仅允许经过批准的域在未经提示的情况下使用 ActiveX 禁用 启用
启用
下载未签名的 ActiveX 控件 禁用(推荐)
禁用(推荐)

下载已签名的 ActiveX 控件
提示(推荐) 禁用
允许 ActiveX 筛选 启用
启用
允许Scriptlet 禁用 禁用
允许运行以前未使用的 ActiveX 控件而不提示 启用 禁用 禁用
运行 ActiveX 控件和插件 启用 禁用
在没有使用外部媒体播放机的网页上显示视频和动画 禁用 禁用
脚本 Java 小程序脚本 启用 禁用
活动脚本 启用 禁用
启用 XSS 筛选器 启用
启用
允许对剪贴板进行编程访问 提示 禁用
允许网站使用脚本窗口提示获得信息 启用 禁用
允许状态栏通过脚本更新 启用 禁用 禁用
其他 持续使用用户数据 启用 禁用
加载应用程序和不安全文件 提示(推荐)
提示(推荐)
将文件上传到服务器时包含本地目录路径 启用 禁用 禁用
跨域浏览窗口和框架 禁用 禁用
启用 MIME 探查 启用 禁用
使用 SmartScreen 筛选器 启用
启用
使用弹出窗口阻止程序 启用
启用
特权较少的 Web 内容区域中的网站可以定位到该区域 启用 禁用
提交非加密表单 启用 提示
通过域访问数据源 禁用 禁用
拖放或复制和粘贴文件 启用 提示
显示混合内容 提示 提示
允许 META REFRESH 启用 禁用
允许 Microsoft 网页浏览器控件的脚本 禁用 禁用
允许脚本初始化的窗口,不受大小或位置限制 禁用 禁用
允许网页使用活动内容受限协议 提示 禁用
允许网站打开没有地址或状态栏的窗口 启用 禁用 禁用
在 IFRAME 中加载程序和文件 提示(推荐) 禁用
只存在一个证书时不提示进行客户端证书选择 禁用 禁用
启用 .NET Framework 安装程序 启用 禁用
下载 文件下载 启用 禁用
字体下载 启用 禁用
用户验证 登录 只在 Intranet 区域自动登录 用户名和密码提示

其中,部分需要关注或科普的值如下。

XAML
Extensible Application Markup Language,一种XML的用户界面描述语言,是 .NET Framework中用来描述UI的。

http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx

Scriptlet
Scriptlet是一种将一个页面打包成组件的轻量方法。如:

<OBJECT ID="scrltCode2"
TYPE="text/x-scriptlet"
DATA="DateTime.html"
</OBJECT> 

其中DateTime.html为一个包含完整功能的html页面。

http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx

Authenticode

一种对从web下载的应用的签名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx

XSS 筛选器

自IE8增加的XSS保护功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss

允许对剪贴板进行编程访问
常用的“点击复制”类似的功能,需要考虑在禁用此项时的容错方案。

将文件上传到服务器时包含本地目录路径

若禁用,上传文件时将得到类似这样的地址:

C:\fakepath\xxxxxx.png

解决办法见后续文章。

MIME 探查
通过探查MIME类型来确定文件类型。不会将文件类型提升为更危险的文件类型。例如,以纯文本接收的但包含 HTML 代码的文件将不会提升为 HTML 类型,因为其中可能包含恶意代码。

显示混合内容
即在HTTPS的页面中包含HTTP的请求时,会出现提示。

允许 META REFRESH
因此在做浏览器端的redirect时,不能仅做meta refresh,而需要使用下面的兼容方法:

<html>
<head>
<meta http-equiv="refresh" content="0;url=http://www.jb51.net/">
</head>
<body>
<script type="text/javascript">
window.location.href='http://www.jb51.net/';
</script>
</body>
</html> 
(0)

相关推荐

  • IE 浏览器安全级别详情及区别小结

    Windows 7下IE9安全级别设置项如下表示.(留空代表同前一列的值,无变化) 类别 属性 中 中-高 高 .NET Framework XAML 浏览器应用程序 启用 禁用 禁用 XPS 文档 启用 禁用 松散 XAML 启用 禁用 .NET Framework 相关组件 带有清单的权限的组件 高安全级 禁用 运行未用 Authenticode 签名的组件 启用 禁用 运行已用 Authenticode 签名的组件 启用 禁用 ActiveX 控件和插件 ActiveX 控件自动提示 禁用

  • Js+Ajax,Get和Post在使用上的区别小结

    get和post方法最大的不同在于: 1.get方法传值参数在url里面,而post参数放send里面 2.post方法必须加上 xmlHttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); 下面实例可以看get方法 xmlHttp.open("GET","for.php?text="+url,true); 在post里面表现为:

  • JavaScript中find()和 filter()方法的区别小结

    目录 前言 JavaScript find() 方法 JavaScript filter() 方法 find() 和 filter() 的区别与共点 直接上代码 总结 前言 JavaScript 在 ES6 上有很多数组方法,每种方法都有独特的用途和好处. 在开发应用程序时,大多使用数组方法来获取特定的值列表并获取单个或多个匹配项. 在列出这两种方法的区别之前,我们先来一一了解这些方法. JavaScript find() 方法 ES6 find() 方法返回通过测试函数的第一个元素的值.如果没

  • URL中斜杠/和反斜杠\的区别小结

    最近在项目中遇到了一个小问题,纠结了半天. 路径中使用斜杠/和反斜杠\的区别到底是什么.查阅了一些资料后可知. Unix使用斜杆/ 作为路径分隔符,而web应用最新使用在Unix系统上面,所以目前所有的网络地址都采用 斜杆/ 作为分隔符. Windows由于使用 斜杆/ 作为DOS命令提示符的参数标志了,为了不混淆,所以采用 反斜杠\ 作为路径分隔符.所以目前windows系统上的文件浏览器都是用 反斜杠\ 作为路径分隔符.随着发展,DOS系统已经被淘汰了,命令提示符也用的很少,斜杆和反斜杠在大

  • Mybatis中#{}和${}传参的区别及#和$的区别小结

    最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下, 比如说用#{},和 ${}传参的区别, 使用#传入参数是,sql语句解析是会加上"",比如 select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是 select * from table where name = '小李',就是会当成字符串来解析,这样相比于$的好处是比较明显对的吧,#{}传参能防止sql注入,如果

  • Asp.Net 不同的OnClick事件区别小结(onserverclick,onclientclick)

    1. HTML控件,如IMG的输入按钮等 的 onclick ( 客户端 )和 onserverclick( 服务端 )事件,注意 runat="server"... 此处的onclick先于onserverclick执行.2.WEB控件,如<asp:button 按钮等 的 onclientclick( 客户端 ) 和 onclick ( 服务端 )事件... 此处的onclientclick先于onclick执行.onclientclick  事件来自2.0, 它用来取代下列

  • 理顺8个版本vue的区别(小结)

    一共8个版本的vue 术语 完整版:同时包含编译器和运行时的版本. 编译器:用来将模板字符串编译成为 JavaScript 渲染函数的代码. 运行时:用来创建 Vue 实例.渲染并处理虚拟 DOM 等的代码.基本上就是除去编译器的其它一切. UMD:UMD 版本可以通过 <script> 标签直接用在浏览器中.jsDelivr CDN 的 https://cdn.jsdelivr.net/npm/vue 默认文件就是运行时 + 编译器的 UMD 版本 (vue.js). CommonJS:Co

  • vue跳转页面常用的4种方法与区别小结

    目录 1:router-link跳转 2:this.$router.push() 3. this.$router.replace() 4. this.$router.go(n) ps:区别 总结 vue跳转页面有好几种不同方法,下面将通过实例代码给大家介绍,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下. 1:router-link跳转 1.不带参数 <router-link :to="{name:'home'}"> <router-link :to=

  • Android中gravity、layout_gravity、padding、margin的区别小结

    1.gravity与layout_gravity的区别 gravity 属性是对该view 内容的限定.比如一个button 上面的text. 你可以设置该text 在view的靠左,靠右等位置.该属性就干了这个. layout_gravity 是用来设置该view相对与起父view 的位置.比如一个button 在linearlayout里,你想把该button放在靠左 靠右等位置就可以通过该属性设置. 这样就解释了,有什么我们弄个最外布局,然后里面包了几个布局,如果要使这几个布局都靠底,就可

  • js 页面刷新location.reload和location.replace的区别小结

    首先介绍两个方法的语法: reload 方法,该方法强迫浏览器刷新当前页面. 语法: location.reload([bForceGet]) 参数: bForceGet, 可选参数, 默认为 false,从客户端缓存里取当前页.true, 则以 GET 方式,从服务端取最新的页面, 相当于客户端点击 F5("刷新") replace 方法,该方法通过指定URL替换当前缓存在历史里(客户端)的项目,因此当使用replace方法之后,你不能通过"前进"和"后

随机推荐