IE 浏览器安全级别详情及区别小结
作者:mdxy-dxy 发布时间:2022-05-28 20:24:16
Windows 7下IE9安全级别设置项如下表示。(留空代表同前一列的值,无变化)
类别 | 属性 | 中 | 中-高 | 高 |
---|---|---|---|---|
.NET Framework | XAML 浏览器应用程序 | 启用 | 禁用 | 禁用 |
XPS 文档 | 启用 | 禁用 | ||
松散 XAML | 启用 | 禁用 | ||
.NET Framework 相关组件 | 带有清单的权限的组件 | 高安全级 | 禁用 | |
运行未用 Authenticode 签名的组件 | 启用 | 禁用 | ||
运行已用 Authenticode 签名的组件 | 启用 | 禁用 | ||
ActiveX 控件和插件 | ActiveX 控件自动提示 | 禁用 | 禁用 | |
对标记为可安全执行脚本的 ActiveX 控件执行脚本* | 启用 | 禁用 | ||
对未标记为可安全执行脚本的 ActiveX 控件初始化并执行脚本 | 禁用(推荐) | 禁用(推荐) | ||
二进制和脚本行为 | 启用 | 禁用 | ||
仅允许经过批准的域在未经提示的情况下使用 ActiveX | 禁用 | 启用 | 启用 | |
下载未签名的 ActiveX 控件 | 禁用(推荐) | 禁用(推荐) | ||
下载已签名的 ActiveX 控件 | 提示(推荐) | 禁用 | ||
允许 ActiveX 筛选 | 启用 | 启用 | ||
允许Scriptlet | 禁用 | 禁用 | ||
允许运行以前未使用的 ActiveX 控件而不提示 | 启用 | 禁用 | 禁用 | |
运行 ActiveX 控件和插件 | 启用 | 禁用 | ||
在没有使用外部媒体播放机的网页上显示视频和动画 | 禁用 | 禁用 | ||
脚本 | Java 小程序脚本 | 启用 | 禁用 | |
活动脚本 | 启用 | 禁用 | ||
启用 XSS 筛选器 | 启用 | 启用 | ||
允许对剪贴板进行编程访问 | 提示 | 禁用 | ||
允许网站使用脚本窗口提示获得信息 | 启用 | 禁用 | ||
允许状态栏通过脚本更新 | 启用 | 禁用 | 禁用 | |
其他 | 持续使用用户数据 | 启用 | 禁用 | |
加载应用程序和不安全文件 | 提示(推荐) | 提示(推荐) | ||
将文件上传到服务器时包含本地目录路径 | 启用 | 禁用 | 禁用 | |
跨域浏览窗口和框架 | 禁用 | 禁用 | ||
启用 MIME 探查 | 启用 | 禁用 | ||
使用 SmartScreen 筛选器 | 启用 | 启用 | ||
使用弹出窗口阻止程序 | 启用 | 启用 | ||
特权较少的 Web 内容区域中的网站可以定位到该区域 | 启用 | 禁用 | ||
提交非加密表单 | 启用 | 提示 | ||
通过域访问数据源 | 禁用 | 禁用 | ||
拖放或复制和粘贴文件 | 启用 | 提示 | ||
显示混合内容 | 提示 | 提示 | ||
允许 META REFRESH | 启用 | 禁用 | ||
允许 Microsoft 网页浏览器控件的脚本 | 禁用 | 禁用 | ||
允许脚本初始化的窗口,不受大小或位置限制 | 禁用 | 禁用 | ||
允许网页使用活动内容受限协议 | 提示 | 禁用 | ||
允许网站打开没有地址或状态栏的窗口 | 启用 | 禁用 | 禁用 | |
在 IFRAME 中加载程序和文件 | 提示(推荐) | 禁用 | ||
只存在一个证书时不提示进行客户端证书选择 | 禁用 | 禁用 | ||
启用 .NET Framework 安装程序 | 启用 | 禁用 | ||
下载 | 文件下载 | 启用 | 禁用 | |
字体下载 | 启用 | 禁用 | ||
用户验证 | 登录 | 只在 Intranet 区域自动登录 | 用户名和密码提示 |
其中,部分需要关注或科普的值如下。
XAML
Extensible Application Markup Language,一种XML的用户界面描述语言,是 .NET Framework中用来描述UI的。
http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx
Scriptlet
Scriptlet是一种将一个页面打包成组件的轻量方法。如:
<OBJECT ID="scrltCode2"
TYPE="text/x-scriptlet"
DATA="DateTime.html"
</OBJECT>
其中DateTime.html为一个包含完整功能的html页面。
http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx
Authenticode
一种对从web下载的应用的签名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx
XSS 筛选器
自IE8增加的XSS保护功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss
允许对剪贴板进行编程访问
常用的“点击复制”类似的功能,需要考虑在禁用此项时的容错方案。
将文件上传到服务器时包含本地目录路径
若禁用,上传文件时将得到类似这样的地址:
C:\fakepath\xxxxxx.png
解决办法见后续文章。
MIME 探查
通过探查MIME类型来确定文件类型。不会将文件类型提升为更危险的文件类型。例如,以纯文本接收的但包含 HTML 代码的文件将不会提升为 HTML 类型,因为其中可能包含恶意代码。
显示混合内容
即在HTTPS的页面中包含HTTP的请求时,会出现提示。
允许 META REFRESH
因此在做浏览器端的redirect时,不能仅做meta refresh,而需要使用下面的兼容方法:
<html>
<head>
<meta http-equiv="refresh" content="0;url=https://www.jb51.net/">
</head>
<body>
<script type="text/javascript">
window.location.href='https://www.jb51.net/';
</script>
</body>
</html>
猜你喜欢
- Flask web上传获取图像Image读取并使用图片上传界面后端@app.route('/upload')def uplo
- 目录match 分组re.sub 匹配和替换反向引用参考re 模块是 Python 标准库中提供的用于处理正则表达式的模块,利用
- 1.变量命名1)命名的规范性变量名可以包括字母、数字、下划线,但是数字不能做为开头。系统关键字不能做变量名使用除了下划线之个,其它符号不能做
- 写一个 python 脚本需要用到 dbus,但因为 dbus-python 这个包并没有提供 setup.py , 所以无法通过 pip
- 安装TensorFlow在Windows上,真是让我心力交瘁,想死的心都有了,在Windows上做开发真的让人发狂。首先说一下我的经历,本来
- Python time模块时间获取和转换Time模块介绍Python的Time库可以进行时间相关的处理,如访问当前日期和时间,输出不同格式的
- 如何在页面中对不同的数据进行相同的处理?selectId.asp' 列出所有客户的客户名称<html><
- 一、思路介绍在已有的单路径迷宫基础上打开一块合适的墙就可以构成2路径的迷宫。打开的墙不能和已有的路径过近。1。从开始和终点开始进行广度优先搜
- 前言在跑项目时,常常会安装很多的包,也通常会遇到需要安装指定版本的包,以及包与包不兼容的问题。比如:在项目1中安装librosa时,会自动安
- 本文实例讲述了Python动态导入模块的方法。分享给大家供大家参考,具体如下:一、正常导入模块正常模块导入方式: import module
- 这篇文章主要介绍了python 矢量数据转栅格数据代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要
- 如下所示:def resize(src, dsize, dst=None, fx=None, fy=None, interpolation=
- 在介绍之前,首先一个概念明确一个共识:没有攻不破的网站,只有值不值得。这意思是说,我们可以尽可能的提高自己网站的安全,但并没有绝对的安全,当
- requests 提供了一个叫做session类,来实现客户端和服务端的会话保持使用方法1.实例化一个session对象2.让session
- Telnet 连接方式#!/usr/bin/env python# coding=utf-8import timeimport telnet
- python合并文本文件示例代码。python实现两个文本合并employee文件中记录了工号和姓名cat employee.txt:100
- 1 参数选择 径向畸变3个参数还是两个参数默认两个参数如果是三个参数2准备转化生成结果二参数的转化代码writeExternalandInt
- 本文实例讲述了Python类的用法。分享给大家供大家参考。具体如下:先看一段代码:#!/usr/bin/env pythonclass Te
- 元类是可以让你定义某些类是如何被创建的。从根本上说,赋予你如何创建类的控制权。元类也是一个类,是一个type类。 元类一般用于创建
- Hello,各位读者朋友们好啊,我是小张~这不国庆嘛,就把最近很火的一个韩剧《鱿鱼游戏》刷了下,这部剧整体剧情来说还是非常不错的,很值得一看