Windows 7下IE9安全級別設置項如下表示��。(留空代表同前一列的值����,無變化)
| 類別 | 屬性 | 中 | 中-高 | 高 |
| .NET Framework | XAML 瀏覽器應用程序 | 啟用 | 禁用 | 禁用 |
| XPS 文檔 | 啟用 | | 禁用 |
| 松散 XAML | 啟用 | | 禁用 |
| .NET Framework 相關組件 | 帶有清單的權限的組件 | 高安全級 | | 禁用 |
| 運行未用 Authenticode 簽名的組件 | 啟用 | | 禁用 |
| 運行已用 Authenticode 簽名的組件 | 啟用 | | 禁用 |
| ActiveX 控件和插件 | ActiveX 控件自動提示 | 禁用 | | 禁用 |
| 對標記為可安全執行腳本的 ActiveX 控件執行腳本* | 啟用 | | 禁用 |
| 對未標記為可安全執行腳本的 ActiveX 控件初始化并執行腳本 | 禁用(推薦) | | 禁用(推薦) |
| 二進制和腳本行為 | 啟用 | | 禁用 |
| 僅允許經過批準的域在未經提示的情況下使用 ActiveX | 禁用 | 啟用 | 啟用 |
| 下載未簽名的 ActiveX 控件 | 禁用(推薦) | | 禁用(推薦) |
| 下載已簽名的 ActiveX 控件 | 提示(推薦) | | 禁用 |
| 允許 ActiveX 篩選 | 啟用 | | 啟用 |
| 允許Scriptlet | 禁用 | | 禁用 |
| 允許運行以前未使用的 ActiveX 控件而不提示 | 啟用 | 禁用 | 禁用 |
| 運行 ActiveX 控件和插件 | 啟用 | | 禁用 |
| 在沒有使用外部媒體播放機的網頁上顯示視頻和動畫 | 禁用 | | 禁用 |
| 腳本 | Java 小程序腳本 | 啟用 | | 禁用 |
| 活動腳本 | 啟用 | | 禁用 |
| 啟用 XSS 篩選器 | 啟用 | | 啟用 |
| 允許對剪貼板進行編程訪問 | 提示 | | 禁用 |
| 允許網站使用腳本窗口提示獲得信息 | 啟用 | | 禁用 |
| 允許狀態欄通過腳本更新 | 啟用 | 禁用 | 禁用 |
| 其他 | 持續使用用戶數據 | 啟用 | | 禁用 |
| 加載應用程序和不安全文件 | 提示(推薦) | | 提示(推薦) |
| 將文件上傳到服務器時包含本地目錄路徑 | 啟用 | 禁用 | 禁用 |
| 跨域瀏覽窗口和框架 | 禁用 | | 禁用 |
| 啟用 MIME 探查 | 啟用 | | 禁用 |
| 使用 SmartScreen 篩選器 | 啟用 | | 啟用 |
| 使用彈出窗口阻止程序 | 啟用 | | 啟用 |
| 特權較少的 Web 內容區域中的網站可以定位到該區域 | 啟用 | | 禁用 |
| 提交非加密表單 | 啟用 | | 提示 |
| 通過域訪問數據源 | 禁用 | | 禁用 |
| 拖放或復制和粘貼文件 | 啟用 | | 提示 |
| 顯示混合內容 | 提示 | | 提示 |
| 允許 META REFRESH | 啟用 | | 禁用 |
| 允許 Microsoft 網頁瀏覽器控件的腳本 | 禁用 | | 禁用 |
| 允許腳本初始化的窗口����,不受大小或位置限制 | 禁用 | | 禁用 |
| 允許網頁使用活動內容受限協議 | 提示 | | 禁用 |
| 允許網站打開沒有地址或狀態欄的窗口 | 啟用 | 禁用 | 禁用 |
| 在 IFRAME 中加載程序和文件 | 提示(推薦) | | 禁用 |
| 只存在一個證書時不提示進行客戶端證書選擇 | 禁用 | | 禁用 |
| 啟用 .NET Framework 安裝程序 | | 啟用 | | 禁用 |
| 下載 | 文件下載 | 啟用 | | 禁用 |
| 字體下載 | 啟用 | | 禁用 |
| 用戶驗證 | 登錄 | 只在 Intranet 區域自動登錄 | | 用戶名和密碼提示 |
其中�����,部分需要關注或科普的值如下����。
XAML
Extensible Application Markup Language,一種XML的用戶界面描述語言����,是 .NET Framework中用來描述UI的。
http://zh.wikipedia.org/wiki/XAML
http://msdn.microsoft.com/en-us/library/ms752059.aspx
Scriptlet
Scriptlet是一種將一個頁面打包成組件的輕量方法����。如:
<OBJECT ID="scrltCode2" TYPE="text/x-scriptlet" DATA="DateTime.html"</OBJECT>
其中DateTime.html為一個包含完整功能的html頁面。
http://msdn.microsoft.com/en-us/library/office/aa189871(v=office.10).aspx
Authenticode
一種對從web下載的應用的簽名方法����。
http://technet.microsoft.com/en-us/library/cc750035.aspx
XSS 篩選器
自IE8增加的XSS保護功能。
http://windows.microsoft.com/zh-CN/internet-explorer/products/ie-8/features/safer?tab=ie8xss
允許對剪貼板進行編程訪問
常用的“點擊復制”類似的功能�����,需要考慮在禁用此項時的容錯方案����。
將文件上傳到服務器時包含本地目錄路徑
若禁用�����,上傳文件時將得到類似這樣的地址:
C:/fakepath/xxxxxx.png
解決辦法見后續文章����。
MIME 探查
通過探查MIME類型來確定文件類型��。不會將文件類型提升為更危險的文件類型����。例如,以純文本接收的但包含 HTML 代碼的文件將不會提升為 HTML 類型��,因為其中可能包含惡意代碼。
顯示混合內容
即在HTTPS的頁面中包含HTTP的請求時�����,會出現提示��。
允許 META REFRESH
因此在做瀏覽器端的redirect時,不能僅做meta refresh��,而需要使用下面的兼容方法:
<html> <head> <meta http-equiv="refresh" content="0;url=http://www.49028c.com/"> </head> <body> <script type="text/javascript"> window.location.href='http://www.49028c.com/'; </script> </body> </html>
