Windows 7下IE9安全級別設置項如下表示���。(留空代表同前一列的值��,無變化)
| 類別 |
屬性 |
中 |
中-高 |
高 |
| .NET Framework |
XAML 瀏覽器應用程序 |
啟用 |
禁用 |
禁用 |
|
XPS 文檔 |
啟用 |
|
禁用 |
|
松散 XAML |
啟用 |
|
禁用 |
|
.NET Framework 相關(guān)組件
|
帶有清單的權(quán)限的組件 |
高安全級 |
|
禁用
|
|
運行未用 Authenticode 簽名的組件 |
啟用 |
|
禁用
|
|
運行已用 Authenticode 簽名的組件
|
啟用 |
|
禁用
|
| ActiveX 控件和插件 |
ActiveX 控件自動提示 |
禁用 |
|
禁用
|
|
對標記為可安全執(zhí)行腳本的 ActiveX 控件執(zhí)行腳本* |
啟用 |
|
禁用
|
|
對未標記為可安全執(zhí)行腳本的 ActiveX 控件初始化并執(zhí)行腳本
|
禁用(推薦) |
|
禁用(推薦)
|
|
二進制和腳本行為 |
啟用 |
|
禁用 |
|
僅允許經(jīng)過批準的域在未經(jīng)提示的情況下使用 ActiveX |
禁用 |
啟用 |
啟用
|
|
下載未簽名的 ActiveX 控件 |
禁用(推薦) |
|
禁用(推薦)
|
|
下載已簽名的 ActiveX 控件
|
提示(推薦) |
|
禁用 |
|
允許 ActiveX 篩選 |
啟用 |
|
啟用
|
|
允許Scriptlet |
禁用 |
|
禁用 |
|
允許運行以前未使用的 ActiveX 控件而不提示 |
啟用 |
禁用 |
禁用 |
|
運行 ActiveX 控件和插件 |
啟用 |
|
禁用 |
|
在沒有使用外部媒體播放機的網(wǎng)頁上顯示視頻和動畫 |
禁用 |
|
禁用 |
| 腳本 |
Java 小程序腳本 |
啟用 |
|
禁用 |
|
活動腳本 |
啟用 |
|
禁用 |
|
啟用 XSS 篩選器 |
啟用 |
|
啟用
|
|
允許對剪貼板進行編程訪問 |
提示 |
|
禁用 |
|
允許網(wǎng)站使用腳本窗口提示獲得信息 |
啟用 |
|
禁用 |
|
允許狀態(tài)欄通過腳本更新 |
啟用 |
禁用 |
禁用 |
| 其他 |
持續(xù)使用用戶數(shù)據(jù) |
啟用 |
|
禁用 |
|
加載應用程序和不安全文件 |
提示(推薦) |
|
提示(推薦)
|
|
將文件上傳到服務器時包含本地目錄路徑 |
啟用 |
禁用 |
禁用 |
|
跨域瀏覽窗口和框架 |
禁用 |
|
禁用 |
|
啟用 MIME 探查 |
啟用 |
|
禁用 |
|
使用 SmartScreen 篩選器 |
啟用 |
|
啟用
|
|
使用彈出窗口阻止程序 |
啟用 |
|
啟用
|
|
特權(quán)較少的 Web 內(nèi)容區(qū)域中的網(wǎng)站可以定位到該區(qū)域 |
啟用 |
|
禁用 |
|
提交非加密表單 |
啟用 |
|
提示 |
|
通過域訪問數(shù)據(jù)源 |
禁用 |
|
禁用 |
|
拖放或復制和粘貼文件 |
啟用 |
|
提示 |
|
顯示混合內(nèi)容 |
提示 |
|
提示 |
|
允許 META REFRESH |
啟用 |
|
禁用 |
|
允許 Microsoft 網(wǎng)頁瀏覽器控件的腳本 |
禁用 |
|
禁用 |
|
允許腳本初始化的窗口���,不受大小或位置限制 |
禁用 |
|
禁用 |
|
允許網(wǎng)頁使用活動內(nèi)容受限協(xié)議 |
提示 |
|
禁用 |
|
允許網(wǎng)站打開沒有地址或狀態(tài)欄的窗口 |
啟用 |
禁用 |
禁用 |
|
在 IFRAME 中加載程序和文件 |
提示(推薦) |
|
禁用 |
|
只存在一個證書時不提示進行客戶端證書選擇 |
禁用 |
|
禁用 |
| 啟用 .NET Framework 安裝程序 |
|
啟用 |
|
禁用 |
| 下載 |
文件下載 |
啟用 |
|
禁用 |
|
字體下載 |
啟用 |
|
禁用 |
| 用戶驗證 |
登錄 |
只在 Intranet 區(qū)域自動登錄 |
|
用戶名和密碼提示 |
其中,部分需要關(guān)注或科普的值如下�����。
XAML
Extensible Application Markup Language����,一種XML的用戶界面描述語言,是 .NET Framework中用來描述UI的�����。
http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx
Scriptlet
Scriptlet是一種將一個頁面打包成組件的輕量方法����。如:
OBJECT ID="scrltCode2"
TYPE="text/x-scriptlet"
DATA="DateTime.html"
/OBJECT>
其中DateTime.html為一個包含完整功能的html頁面�。
http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx
Authenticode
一種對從web下載的應用的簽名方法���。
http://technet.microsoft.com/en-us/library/cc750035.aspx
XSS 篩選器
自IE8增加的XSS保護功能�。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss
允許對剪貼板進行編程訪問
常用的“點擊復制”類似的功能�,需要考慮在禁用此項時的容錯方案。
將文件上傳到服務器時包含本地目錄路徑
若禁用����,上傳文件時將得到類似這樣的地址:
C:\fakepath\xxxxxx.png
解決辦法見后續(xù)文章。
MIME 探查
通過探查MIME類型來確定文件類型����。不會將文件類型提升為更危險的文件類型。例如�,以純文本接收的但包含 HTML 代碼的文件將不會提升為 HTML 類型,因為其中可能包含惡意代碼��。
顯示混合內(nèi)容
即在HTTPS的頁面中包含HTTP的請求時���,會出現(xiàn)提示����。
允許 META REFRESH
因此在做瀏覽器端的redirect時,不能僅做meta refresh�����,而需要使用下面的兼容方法:
html>
head>
meta http-equiv="refresh" content="0;url=https://www.jb51.net/">
/head>
body>
script type="text/javascript">
window.location.;
/script>
/body>
/html>
