IE 瀏覽器安全級(jí)別詳情及區(qū)別小結(jié)

更新時(shí)間：2016年01月28日 16:43:26 投稿：mdxy-dxy

排查問題時(shí)，定位到可能和當(dāng)前瀏覽器的安全級(jí)別設(shè)置有關(guān)，順便整理了下Windows 7下IE9安全級(jí)別的詳情內(nèi)容，及各安全級(jí)別下的默認(rèn)設(shè)置差異

Windows 7下IE9安全級(jí)別設(shè)置項(xiàng)如下表示。（留空代表同前一列的值，無變化）

類別	屬性	中	中-高	高
.NET Framework	XAML 瀏覽器應(yīng)用程序	啟用	禁用	禁用
	XPS 文檔	啟用		禁用
	松散 XAML	啟用		禁用
.NET Framework 相關(guān)組件	帶有清單的權(quán)限的組件	高安全級(jí)		禁用
	運(yùn)行未用 Authenticode 簽名的組件	啟用		禁用
	運(yùn)行已用 Authenticode 簽名的組件	啟用		禁用
ActiveX 控件和插件	ActiveX 控件自動(dòng)提示	禁用		禁用
	對(duì)標(biāo)記為可安全執(zhí)行腳本的 ActiveX 控件執(zhí)行腳本*	啟用		禁用
	對(duì)未標(biāo)記為可安全執(zhí)行腳本的 ActiveX 控件初始化并執(zhí)行腳本	禁用（推薦）		禁用（推薦）
	二進(jìn)制和腳本行為	啟用		禁用
	僅允許經(jīng)過批準(zhǔn)的域在未經(jīng)提示的情況下使用 ActiveX	禁用	啟用	啟用
	下載未簽名的 ActiveX 控件	禁用（推薦）		禁用（推薦）
	下載已簽名的 ActiveX 控件	提示（推薦）		禁用
	允許 ActiveX 篩選	啟用		啟用
	允許Scriptlet	禁用		禁用
	允許運(yùn)行以前未使用的 ActiveX 控件而不提示	啟用	禁用	禁用
	運(yùn)行 ActiveX 控件和插件	啟用		禁用
	在沒有使用外部媒體播放機(jī)的網(wǎng)頁上顯示視頻和動(dòng)畫	禁用		禁用
腳本	Java 小程序腳本	啟用		禁用
	活動(dòng)腳本	啟用		禁用
	啟用 XSS 篩選器	啟用		啟用
	允許對(duì)剪貼板進(jìn)行編程訪問	提示		禁用
	允許網(wǎng)站使用腳本窗口提示獲得信息	啟用		禁用
	允許狀態(tài)欄通過腳本更新	啟用	禁用	禁用
其他	持續(xù)使用用戶數(shù)據(jù)	啟用		禁用
	加載應(yīng)用程序和不安全文件	提示（推薦）		提示（推薦）
	將文件上傳到服務(wù)器時(shí)包含本地目錄路徑	啟用	禁用	禁用
	跨域?yàn)g覽窗口和框架	禁用		禁用
	啟用 MIME 探查	啟用		禁用
	使用 SmartScreen 篩選器	啟用		啟用
	使用彈出窗口阻止程序	啟用		啟用
	特權(quán)較少的 Web 內(nèi)容區(qū)域中的網(wǎng)站可以定位到該區(qū)域	啟用		禁用
	提交非加密表單	啟用		提示
	通過域訪問數(shù)據(jù)源	禁用		禁用
	拖放或復(fù)制和粘貼文件	啟用		提示
	顯示混合內(nèi)容	提示		提示
	允許 META REFRESH	啟用		禁用
	允許 Microsoft 網(wǎng)頁瀏覽器控件的腳本	禁用		禁用
	允許腳本初始化的窗口，不受大小或位置限制	禁用		禁用
	允許網(wǎng)頁使用活動(dòng)內(nèi)容受限協(xié)議	提示		禁用
	允許網(wǎng)站打開沒有地址或狀態(tài)欄的窗口	啟用	禁用	禁用
	在 IFRAME 中加載程序和文件	提示（推薦）		禁用
	只存在一個(gè)證書時(shí)不提示進(jìn)行客戶端證書選擇	禁用		禁用
啟用 .NET Framework 安裝程序		啟用		禁用
下載	文件下載	啟用		禁用
	字體下載	啟用		禁用
用戶驗(yàn)證	登錄	只在 Intranet 區(qū)域自動(dòng)登錄		用戶名和密碼提示

其中，部分需要關(guān)注或科普的值如下。

XAML
Extensible Application Markup Language，一種XML的用戶界面描述語言，是 .NET Framework中用來描述UI的。

http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx

Scriptlet
Scriptlet是一種將一個(gè)頁面打包成組件的輕量方法。如：

<OBJECT ID="scrltCode2" 
TYPE="text/x-scriptlet" 
DATA="DateTime.html"
</OBJECT>

其中DateTime.html為一個(gè)包含完整功能的html頁面。

http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx

Authenticode

一種對(duì)從web下載的應(yīng)用的簽名方法。
http://technet.microsoft.com/en-us/library/cc750035.aspx

XSS 篩選器

自IE8增加的XSS保護(hù)功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss

允許對(duì)剪貼板進(jìn)行編程訪問
常用的“點(diǎn)擊復(fù)制”類似的功能，需要考慮在禁用此項(xiàng)時(shí)的容錯(cuò)方案。

將文件上傳到服務(wù)器時(shí)包含本地目錄路徑

若禁用，上傳文件時(shí)將得到類似這樣的地址：

C:\fakepath\xxxxxx.png

解決辦法見后續(xù)文章。

MIME 探查
通過探查MIME類型來確定文件類型。不會(huì)將文件類型提升為更危險(xiǎn)的文件類型。例如，以純文本接收的但包含 HTML 代碼的文件將不會(huì)提升為 HTML 類型，因?yàn)槠渲锌赡馨瑦阂獯a。

顯示混合內(nèi)容
即在HTTPS的頁面中包含HTTP的請(qǐng)求時(shí)，會(huì)出現(xiàn)提示。

允許 META REFRESH
因此在做瀏覽器端的redirect時(shí)，不能僅做meta refresh，而需要使用下面的兼容方法：

<html> 
<head> 
<meta http-equiv="refresh" content="0;url=http://www.dhdzp.com/"> 
</head> 
<body> 
<script type="text/javascript"> 
window.location.href='http://www.dhdzp.com/'; 
</script> 
</body> 
</html>