Windows 7下IE9安全級(jí)別設(shè)置項(xiàng)如下表示。(留空代表同前一列的值,無(wú)變化)
| 類別 | 屬性 | 中 | 中-高 | 高 |
|---|---|---|---|---|
| .NET Framework | XAML 瀏覽器應(yīng)用程序 | 啟用 | 禁用 | 禁用 |
| XPS 文檔 | 啟用 | 禁用 | ||
| 松散 XAML | 啟用 | 禁用 | ||
| .NET Framework 相關(guān)組件 | 帶有清單的權(quán)限的組件 | 高安全級(jí) | 禁用 | |
| 運(yùn)行未用 Authenticode 簽名的組件 | 啟用 | 禁用 | ||
| 運(yùn)行已用 Authenticode 簽名的組件 | 啟用 | 禁用 | ||
| ActiveX 控件和插件 | ActiveX 控件自動(dòng)提示 | 禁用 | 禁用 | |
| 對(duì)標(biāo)記為可安全執(zhí)行腳本的 ActiveX 控件執(zhí)行腳本* | 啟用 | 禁用 | ||
| 對(duì)未標(biāo)記為可安全執(zhí)行腳本的 ActiveX 控件初始化并執(zhí)行腳本 | 禁用(推薦) | 禁用(推薦) | ||
| 二進(jìn)制和腳本行為 | 啟用 | 禁用 | ||
| 僅允許經(jīng)過(guò)批準(zhǔn)的域在未經(jīng)提示的情況下使用 ActiveX | 禁用 | 啟用 | 啟用 | |
| 下載未簽名的 ActiveX 控件 | 禁用(推薦) | 禁用(推薦) | ||
| 下載已簽名的 ActiveX 控件 | 提示(推薦) | 禁用 | ||
| 允許 ActiveX 篩選 | 啟用 | 啟用 | ||
| 允許Scriptlet | 禁用 | 禁用 | ||
| 允許運(yùn)行以前未使用的 ActiveX 控件而不提示 | 啟用 | 禁用 | 禁用 | |
| 運(yùn)行 ActiveX 控件和插件 | 啟用 | 禁用 | ||
| 在沒(méi)有使用外部媒體播放機(jī)的網(wǎng)頁(yè)上顯示視頻和動(dòng)畫 | 禁用 | 禁用 | ||
| 腳本 | Java 小程序腳本 | 啟用 | 禁用 | |
| 活動(dòng)腳本 | 啟用 | 禁用 | ||
| 啟用 XSS 篩選器 | 啟用 | 啟用 | ||
| 允許對(duì)剪貼板進(jìn)行編程訪問(wèn) | 提示 | 禁用 | ||
| 允許網(wǎng)站使用腳本窗口提示獲得信息 | 啟用 | 禁用 | ||
| 允許狀態(tài)欄通過(guò)腳本更新 | 啟用 | 禁用 | 禁用 | |
| 其他 | 持續(xù)使用用戶數(shù)據(jù) | 啟用 | 禁用 | |
| 加載應(yīng)用程序和不安全文件 | 提示(推薦) | 提示(推薦) | ||
| 將文件上傳到服務(wù)器時(shí)包含本地目錄路徑 | 啟用 | 禁用 | 禁用 | |
| 跨域?yàn)g覽窗口和框架 | 禁用 | 禁用 | ||
| 啟用 MIME 探查 | 啟用 | 禁用 | ||
| 使用 SmartScreen 篩選器 | 啟用 | 啟用 | ||
| 使用彈出窗口阻止程序 | 啟用 | 啟用 | ||
| 特權(quán)較少的 Web 內(nèi)容區(qū)域中的網(wǎng)站可以定位到該區(qū)域 | 啟用 | 禁用 | ||
| 提交非加密表單 | 啟用 | 提示 | ||
| 通過(guò)域訪問(wèn)數(shù)據(jù)源 | 禁用 | 禁用 | ||
| 拖放或復(fù)制和粘貼文件 | 啟用 | 提示 | ||
| 顯示混合內(nèi)容 | 提示 | 提示 | ||
| 允許 META REFRESH | 啟用 | 禁用 | ||
| 允許 Microsoft 網(wǎng)頁(yè)瀏覽器控件的腳本 | 禁用 | 禁用 | ||
| 允許腳本初始化的窗口,不受大小或位置限制 | 禁用 | 禁用 | ||
| 允許網(wǎng)頁(yè)使用活動(dòng)內(nèi)容受限協(xié)議 | 提示 | 禁用 | ||
| 允許網(wǎng)站打開(kāi)沒(méi)有地址或狀態(tài)欄的窗口 | 啟用 | 禁用 | 禁用 | |
| 在 IFRAME 中加載程序和文件 | 提示(推薦) | 禁用 | ||
| 只存在一個(gè)證書時(shí)不提示進(jìn)行客戶端證書選擇 | 禁用 | 禁用 | ||
| 啟用 .NET Framework 安裝程序 | 啟用 | 禁用 | ||
| 下載 | 文件下載 | 啟用 | 禁用 | |
| 字體下載 | 啟用 | 禁用 | ||
| 用戶驗(yàn)證 | 登錄 | 只在 Intranet 區(qū)域自動(dòng)登錄 | 用戶名和密碼提示 |
其中,部分需要關(guān)注或科普的值如下。
XAML
Extensible Application Markup Language,一種XML的用戶界面描述語(yǔ)言,是 .NET Framework中用來(lái)描述UI的。
http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx
Scriptlet
Scriptlet是一種將一個(gè)頁(yè)面打包成組件的輕量方法。如:
<OBJECT ID="scrltCode2" TYPE="text/x-scriptlet" DATA="DateTime.html"</OBJECT>
其中DateTime.html為一個(gè)包含完整功能的html頁(yè)面。
http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx
Authenticode
一種對(duì)從web下載的應(yīng)用的簽名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx
XSS 篩選器
自IE8增加的XSS保護(hù)功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss
允許對(duì)剪貼板進(jìn)行編程訪問(wèn)
常用的“點(diǎn)擊復(fù)制”類似的功能,需要考慮在禁用此項(xiàng)時(shí)的容錯(cuò)方案。
將文件上傳到服務(wù)器時(shí)包含本地目錄路徑
若禁用,上傳文件時(shí)將得到類似這樣的地址:
C:/fakepath/xxxxxx.png
解決辦法見(jiàn)后續(xù)文章。
MIME 探查
通過(guò)探查MIME類型來(lái)確定文件類型。不會(huì)將文件類型提升為更危險(xiǎn)的文件類型。例如,以純文本接收的但包含 HTML 代碼的文件將不會(huì)提升為 HTML 類型,因?yàn)槠渲锌赡馨瑦阂獯a。
顯示混合內(nèi)容
即在HTTPS的頁(yè)面中包含HTTP的請(qǐng)求時(shí),會(huì)出現(xiàn)提示。
允許 META REFRESH
因此在做瀏覽器端的redirect時(shí),不能僅做meta refresh,而需要使用下面的兼容方法:
<html> <head> <meta http-equiv="refresh" content="0;url=http://www.survivalescaperooms.com/"> </head> <body> <script type="text/javascript"> window.location.href='http://www.survivalescaperooms.com/'; </script> </body> </html>
新聞熱點(diǎn)
疑難解答
圖片精選
