| 類別 | 屬性 | 中 | 中-高 | 高 |
|---|---|---|---|---|
| .NET Framework | XAML 瀏覽器應用程序 | 啟用 | 禁用 | 禁用 |
| XPS 文檔 | 啟用 | 禁用 | ||
| 松散 XAML | 啟用 | 禁用 | ||
|
.NET Framework 相關組件
|
帶有清單的權限的組件 | 高安全級 |
禁用
|
|
| 運行未用 Authenticode 簽名的組件 | 啟用 |
禁用
|
||
|
運行已用 Authenticode 簽名的組件
|
啟用 |
禁用
|
||
| ActiveX 控件和插件 | ActiveX 控件自動提示 | 禁用 |
禁用
|
|
| 對標記為可安全執行腳本的 ActiveX 控件執行腳本* | 啟用 |
禁用
|
||
|
對未標記為可安全執行腳本的 ActiveX 控件初始化并執行腳本
|
禁用(推薦) |
禁用(推薦)
|
||
| 二進制和腳本行為 | 啟用 | 禁用 | ||
| 僅允許經過批準的域在未經提示的情況下使用 ActiveX | 禁用 | 啟用 |
啟用
|
|
| 下載未簽名的 ActiveX 控件 | 禁用(推薦) |
禁用(推薦)
|
||
|
下載已簽名的 ActiveX 控件
|
提示(推薦) | 禁用 | ||
| 允許 ActiveX 篩選 | 啟用 |
啟用
|
||
| 允許Scriptlet | 禁用 | 禁用 | ||
| 允許運行以前未使用的 ActiveX 控件而不提示 | 啟用 | 禁用 | 禁用 | |
| 運行 ActiveX 控件和插件 | 啟用 | 禁用 | ||
| 在沒有使用外部媒體播放機的網頁上顯示視頻和動畫 | 禁用 | 禁用 | ||
| 腳本 | Java 小程序腳本 | 啟用 | 禁用 | |
| 活動腳本 | 啟用 | 禁用 | ||
| 啟用 XSS 篩選器 | 啟用 |
啟用
|
||
| 允許對剪貼板進行編程訪問 | 提示 | 禁用 | ||
| 允許網站使用腳本窗口提示獲得信息 | 啟用 | 禁用 | ||
| 允許狀態欄通過腳本更新 | 啟用 | 禁用 | 禁用 | |
| 其他 | 持續使用用戶數據 | 啟用 | 禁用 | |
| 加載應用程序和不安全文件 | 提示(推薦) |
提示(推薦)
|
||
| 將文件上傳到服務器時包含本地目錄路徑 | 啟用 | 禁用 | 禁用 | |
| 跨域瀏覽窗口和框架 | 禁用 | 禁用 | ||
| 啟用 MIME 探查 | 啟用 | 禁用 | ||
| 使用 SmartScreen 篩選器 | 啟用 |
啟用
|
||
| 使用彈出窗口阻止程序 | 啟用 |
啟用
|
||
| 特權較少的 Web 內容區域中的網站可以定位到該區域 | 啟用 | 禁用 | ||
| 提交非加密表單 | 啟用 | 提示 | ||
| 通過域訪問數據源 | 禁用 | 禁用 | ||
| 拖放或復制和粘貼文件 | 啟用 | 提示 | ||
| 顯示混合內容 | 提示 | 提示 | ||
| 允許 META REFRESH | 啟用 | 禁用 | ||
| 允許 Microsoft 網頁瀏覽器控件的腳本 | 禁用 | 禁用 | ||
| 允許腳本初始化的窗口,不受大小或位置限制 | 禁用 | 禁用 | ||
| 允許網頁使用活動內容受限協議 | 提示 | 禁用 | ||
| 允許網站打開沒有地址或狀態欄的窗口 | 啟用 | 禁用 | 禁用 | |
| 在 IFRAME 中加載程序和文件 | 提示(推薦) | 禁用 | ||
| 只存在一個證書時不提示進行客戶端證書選擇 | 禁用 | 禁用 | ||
| 啟用 .NET Framework 安裝程序 | 啟用 | 禁用 | ||
| 下載 | 文件下載 | 啟用 | 禁用 | |
| 字體下載 | 啟用 | 禁用 | ||
| 用戶驗證 | 登錄 | 只在 Intranet 區域自動登錄 | 用戶名和密碼提示 |
其中,部分需要關注或科普的值如下。
XAML
Extensible Application Markup Language,一種XML的用戶界面描述語言,是 .NET Framework中用來描述UI的。
http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx
Scriptlet
Scriptlet是一種將一個頁面打包成組件的輕量方法。如:
OBJECT ID="scrltCode2" TYPE="text/x-scriptlet" DATA="DateTime.html" /OBJECT>
其中DateTime.html為一個包含完整功能的html頁面。
http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx
Authenticode
一種對從web下載的應用的簽名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx
XSS 篩選器
自IE8增加的XSS保護功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss
允許對剪貼板進行編程訪問
常用的“點擊復制”類似的功能,需要考慮在禁用此項時的容錯方案。
將文件上傳到服務器時包含本地目錄路徑
若禁用,上傳文件時將得到類似這樣的地址:
C:\fakepath\xxxxxx.png
解決辦法見后續文章。
MIME 探查
通過探查MIME類型來確定文件類型。不會將文件類型提升為更危險的文件類型。例如,以純文本接收的但包含 HTML 代碼的文件將不會提升為 HTML 類型,因為其中可能包含惡意代碼。
顯示混合內容
即在HTTPS的頁面中包含HTTP的請求時,會出現提示。
允許 META REFRESH
因此在做瀏覽器端的redirect時,不能僅做meta refresh,而需要使用下面的兼容方法:
html> head> meta http-equiv="refresh" content="0;url=https://www.jb51.net/"> /head> body> script type="text/javascript"> window.location.; /script> /body> /html>
標簽:巴彥淖爾 內蒙古 山南 96 宜賓 定州 日照 防城港
巨人網絡通訊聲明:本文標題《IE 瀏覽器安全級別詳情及區別小結》,本文關鍵詞 瀏覽器,安全,級別,詳情,;如發現本文內容存在版權問題,煩請提供相關信息告之我們,我們將及時溝通與處理。本站內容系統采集于網絡,涉及言論、版權與本站無關。
