IE 浏览器安全级别详情及区别

排查问题时,定位到可能和当前浏览器的安全级别设置有关,顺便整理了下Windows 7下IE9安全级别的详情内容,及各安全级别下的默认设置差异。

Windows 7下IE9安全级别设置项如下表示。(留空代表同前一列的值,无变化)

类别 属性 中-高
.NET Framework XAML 浏览器应用程序 启用 禁用 禁用
  XPS 文档 启用   禁用
  松散 XAML 启用   禁用

.NET Framework 相关组件
带有清单的权限的组件 高安全级  
禁用 
  运行未用 Authenticode 签名的组件 启用  
禁用 
 
运行已用 Authenticode 签名的组件
启用  
禁用 
ActiveX 控件和插件 ActiveX 控件自动提示 禁用  
禁用 
  对标记为可安全执行脚本的 ActiveX 控件执行脚本* 启用  
禁用 
 
对未标记为可安全执行脚本的 ActiveX 控件初始化并执行脚本
禁用(推荐)  
禁用(推荐)
  二进制和脚本行为 启用   禁用
  仅允许经过批准的域在未经提示的情况下使用 ActiveX 禁用 启用
启用
  下载未签名的 ActiveX 控件 禁用(推荐)  
禁用(推荐)
 
下载已签名的 ActiveX 控件
提示(推荐)   禁用
  允许 ActiveX 筛选 启用  
启用
  允许Scriptlet 禁用   禁用
  允许运行以前未使用的 ActiveX 控件而不提示 启用 禁用 禁用
  运行 ActiveX 控件和插件 启用   禁用
  在没有使用外部媒体播放机的网页上显示视频和动画 禁用   禁用
脚本 Java 小程序脚本 启用   禁用
  活动脚本 启用   禁用
  启用 XSS 筛选器 启用  
启用
  允许对剪贴板进行编程访问 提示   禁用
  允许网站使用脚本窗口提示获得信息 启用   禁用
  允许状态栏通过脚本更新 启用 禁用 禁用
其他 持续使用用户数据 启用   禁用
  加载应用程序和不安全文件 提示(推荐)  
提示(推荐)
  将文件上传到服务器时包含本地目录路径 启用 禁用 禁用
  跨域浏览窗口和框架 禁用   禁用
  启用 MIME 探查 启用   禁用
  使用 SmartScreen 筛选器 启用  
启用
  使用弹出窗口阻止程序 启用  
启用
  特权较少的 Web 内容区域中的网站可以定位到该区域 启用   禁用
  提交非加密表单 启用   提示
  通过域访问数据源 禁用   禁用
  拖放或复制和粘贴文件 启用   提示
  显示混合内容 提示   提示
  允许 META REFRESH 启用   禁用
  允许 Microsoft 网页浏览器控件的脚本 禁用   禁用
  允许脚本初始化的窗口,不受大小或位置限制 禁用   禁用
  允许网页使用活动内容受限协议 提示   禁用
  允许网站打开没有地址或状态栏的窗口 启用 禁用 禁用
  在 IFRAME 中加载程序和文件 提示(推荐)   禁用
  只存在一个证书时不提示进行客户端证书选择 禁用   禁用
启用 .NET Framework 安装程序   启用   禁用
下载 文件下载 启用   禁用
  字体下载 启用   禁用
用户验证 登录 只在 Intranet 区域自动登录   用户名和密码提示

其中,部分需要关注或科普的值如下。

Scriptlet
Scriptlet是一种将一个页面打包成组件的轻量方法。如:

1234 <OBJECT ID="scrltCode2"    TYPE="text/x-scriptlet"    DATA="DateTime.html"</OBJECT>
其中DateTime.html为一个包含完整功能的html页面。
http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx

Authenticode
一种对从web下载的应用的签名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx

XSS 筛选器
自IE8增加的XSS保护功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss

允许对剪贴板进行编程访问
常用的“点击复制”类似的功能,需要考虑在禁用此项时的容错方案。

将文件上传到服务器时包含本地目录路径
若禁用,上传文件时将得到类似这样的地址:

C:fakepathxxxxxx.png

解决办法见后续文章。

MIME 探查
通过探查MIME类型来确定文件类型。不会将文件类型提升为更危险的文件类型。例如,以纯文本接收的但包含 HTML 代码的文件将不会提升为 HTML 类型,因为其中可能包含恶意代码。

显示混合内容
即在HTTPS的页面中包含HTTP的请求时,会出现提示。

允许 META REFRESH
因此在做浏览器端的redirect时,不能仅做meta refresh,而需要使用下面的兼容方法:

<html>
<head>
<meta http-equiv="refresh" content="0;url=http://www.111cn.net/">
</head>
<body>
<script type="text/javascript">
window.location.href='http://www.111cn.net/';
</script>
</body>
</html>

时间: 2024-10-24 05:36:09

IE 浏览器安全级别详情及区别的相关文章

IE 浏览器安全级别详情及区别小结_相关技巧

Windows 7下IE9安全级别设置项如下表示.(留空代表同前一列的值,无变化) 类别 属性 中 中-高 高 .NET Framework XAML 浏览器应用程序 启用 禁用 禁用 XPS 文档 启用 禁用 松散 XAML 启用 禁用 .NET Framework 相关组件 带有清单的权限的组件 高安全级 禁用 运行未用 Authenticode 签名的组件 启用 禁用 运行已用 Authenticode 签名的组件 启用 禁用 ActiveX 控件和插件 ActiveX 控件自动提示 禁用

IE浏览器安全级别无法修改怎么办?

IE浏览器安全级别无法修改怎么办? 修改ie安全级别的时候,经常会提示:此域的推荐安全级别是"安全级-高". 您选择的级别较低. 请选择"安全级-高"安全级别或更高级别." 我们在修改IE的安全设置低于其默认设置时,系统会提示"无法修改--"的错误,这是由于SP3对用户设置较低的安全级别有所限制.不过这样可能会让我们在访问某些站点的时候失败,我们可以用如下方法修改其默认安全级别: 点击开始--运行,输入regedit 命令打开注册表编辑

android-http请求:pad和浏览器之间有什么区别吗?

问题描述 http请求:pad和浏览器之间有什么区别吗? 20C public Object downFile(String filepath HttpServletRequest request HttpServletResponse response) { response.addHeader(""Access-Control-Allow-Origin""*""); JsonResult jsonResult = new JsonResult

phpstorm,有谁用过,如何直接在控制台中调试不用每次都打开浏览器。详情看图

问题描述 phpstorm,有谁用过,如何直接在控制台中调试不用每次都打开浏览器.详情看图 http://b.hiphotos.baidu.com/zhidao/wh%3D600%2C800/sign=6acf8d2840a98226b8942321bab29539/c8177f3e6709c93df1c401aa9c3df8dcd10054bc.jpg 解决方案 可以的,你在run下面的editorconfiguration里面找到 app engine for php 然后看右边第一行里面粘

jQuery 各种浏览器下获得日期区别_jquery

如果在IE下执行: 复制代码 代码如下: var currentDate = new Date(); alert(currentDate.getYear()); 会弹出2008,但是在FF下就是108,这是为什么呢? 首先了解一下"格林威治标准时 (GMT)"时间,它是从1900年开始,我们来看一下这个运算表达式:108 + 1900 = 2008 原因是FF没有加上1900这个年份,然后代码如下: 复制代码 代码如下: /** * 获得当前的日期 * * @return {} */

DIV边距属性在Chrome和IE中的区别

  突然间,在Chrome下看起来很整齐的布局,在IE下变成一团糟.为了找出原因,我改动了div的background-color属性.最后,发现同一个DIV的宽度在IE和Chrome下却不一样.这大晚上的,真是怪吓人滴!  之后,做了个测试.当:  代码如下: div1  {  width:960px;  margin:0px;  padding:0px;  }  这时,在两个浏览器下是没有区别滴!总宽度均是960px.  但是,当:  代码如下: div1  {  width:960px; 

IE与火狐(firefox)浏览器对js及css的支持差异

IE与火狐(firefox)浏览器对js及css支持的几处不同: 1.firefox不能对innerText支持,也不知道为什么.firefox支持innerHTML但却不支持innerText,所以上网查了一下,原来它改支持textContent来实现innerText,不过实现得没有那么好,默认把多余的空格也保留了.如果不用textContent,如果字符串里面不包含HTML代码也可以用innerHTML代替 2.禁止选取网页内容:在IE中一般用js:obj.onselectstart=fu

无法改变浏览器安全等级怎么解决

IE浏览器安全级别无法修改怎么办? 修改ie安全级别的时候,经常会提示:此域的推荐安全级别是"安全级-高". 您选择的级别较低. 请选择"安全级-高"安全级别或更高级别."   我们在修改IE的安全设置低于其默认设置时,系统会提示"无法修改--"的错误,这是由于SP3对用户设置较低的安全级别有所限制.不过这样可能会让我们在访问某些站点的时候失败,我们可以用如下方法修改其默认安全级别: 点击开始--运行,输入regedit 命令打开注册表

uc浏览器电脑版

  作为UC多屏战略的关键一环,备受关注的uc浏览器电脑版将于近期正式发布.4月1日上午11:00,UC浏览器电脑版限量公测邀请码开抢.本次公测面向全体网民限量发放,为公平起见,采用先到先得的"夺码"模式. 目前UC在手机.平板.TV等终端均完成了产品部署.本次推出的UC浏览器电脑版,完美继承了UC一贯的卓越品质和极速浏览体验,融入了UC在移动终端开发积累的丰富经验.同时,UC还为这款产品研发了多项实用.有趣的功能,倾力打造最具快感的电脑浏览器. UC浏览器电脑版究竟拥有哪些惊喜功能,