IE 8 安全和隐私

转自：http://msdn.microsoft.com/zh-cn/library/cc288472(v=VS.85).aspx

 

安全和隐私

以下功能使 Web 浏览更加安全：

• 点击劫持 (Clickjacking) 防御： 某些黑客会尝试诱骗用户去单击一些看起来像是执行安全或无害功能的按钮，但执行的却是不相关的任务。 点击劫持者 (Clickjacker) 通过使用透明框架，将特定的 UI 元素用令人误解的文本和图像加以覆盖，从而将恶意代码或伪装代码 (Redress) 嵌入到用户界面中。 为了帮助防止点击劫持攻击，网站所有者可以随 HTML 页面发送名为 X-Frame-Options 的 HTTP 响应标头，以限制设置页面框架的方式。

  X-Frame-Options: Deny

  如果 X-Frame-Options 值包含 Deny 标记，则 Internet Explorer 8 将阻止呈现包含在某个框架中的页面。 如果该值包含 SameOrigin 标记，并且顶级浏览上下文不同于包含该指令的页面的源，则 Internet Explorer 将不呈现该页面。 所阻止的页将被替换为“此内容无法在框架中显示”错误页。
• 跨站点脚本 (XSS) 筛选器： Internet Explorer 8 的这一项新功可使得利用“反射性（类型 I）XSS”漏洞变得更加困难。 当使用 HTTP 请求的一部分来生成服务器的响应时，可以对脚本进行反射，从而允许请求中的恶意脚本使用与页面其他部分相同的访问级别运行。 XSS 筛选器可以监视流经浏览器的所有请求和响应。 当筛选器在跨站点请求中检测到脚本时，如果服务器的响应中同样出现该脚本，则筛选器将标识并禁用该脚本。 如果发生这种情况，则将显示“Internet Explorer 修改了此页以防止发生潜在的跨站点脚本攻击”消息。 希望对其内容禁用筛选器的 Web 开发人员可以设置下面的 HTTP 标头。

  X-XSS-Protection: 0

• 删除浏览历史记录： 当用户浏览网站时，Internet Explorer 会存储用户首选项、键入的数据以及有关所访问的位置的信息。 某些扩展程序也可以做同样的事情。 过去，加载项没有办法知道用户何时清除了 Internet 临时文件 (TIF) 文件夹或何时删除了 Cookie 和历史记录。 现在，通过实现 IDeleteBrowsingHistory 接口，当用户清除浏览器缓存时，可以通知扩展程序，从而使其能够同时删除自己存储的数据。
• InPrivate 筛选： 网站无需使用 Cookie 即可跟踪用户。 Internet Explorer 8 通过阻止来自第三方的内容和禁止与第三方内容（来自另一个网站的且已并入到所查看网页中的图像和脚本）通信，可以确保不会泄露用户的浏览习惯。 InPrivate 筛选功能可以在用户浏览过程中记录第三方项，并且可以自动阻止已向超过 10 到 30 个第一方站点提供第三方内容的网站（如果用户启用）。 加载项和工具栏开发人员可以检测用户是否已启用 InPrivate 筛选，方法是调用 IEInPrivateFilteringEnabled 或使用如下脚本：

  var enabled = window.external.InPrivateFilteringEnabled(); 

有关详细信息，请参见：

• IE 博客： IE8 安全性（第 IV 部分）： XSS 筛选器（可能为英文网页）
• IE 博客： IE8 安全性（第 VII 部分）： 点击劫持 (ClickJacking) 防御（可能为英文网页）
• IE 博客： 阻止 Cookie 之外的隐私： 注意第三方内容（可能为英文网页）