2

jQuery、jQuery Tools、およびグラフィカルな機能強化を実行する手作りの JS を使用して Web サイトを取得しました。FF、Safari、および Chrome ではスムーズに実行されていますが、IE はスクリプトの実行をブロックします。

代替テキスト

このコードには、たとえばNetvibesよりも特に危険なものはありません。

なぜ activeX について話しているのですか? 私はJSを使用しています。

どうすればそれを防ぐことができますか?ユーザーが [この Web サイトの動作を許可する] をクリックしないようにします。それは、「早く生きて二度と戻ってこない」という大きな赤い絶対DIVの読みを入れるようなものです.

4

2 に答える 2

8

js はファイルシステムにアクセスできないので、何がポイントなのですか?

実際、JS は伝統的に、ActiveX オブジェクトのインストールなど、My Computer Zone から実行されているいくつかの悪いことを実行できます。過去の IE エクスプロイトの多くは、これを使用して、ファイル システム アクセスを任意のコード アクセスに利用していました。

この問題に直面した Microsoft は、単にマイ コンピュータ ゾーンを削除するのではなく、複雑なレイヤーを追加することで問題を解決することにしました。そのため、Internet Explorer には、ファイルシステムからコンテンツをロックダウンするオプションがデフォルトで追加されましたが、組み込みの WebBrowser コントロールを使用する他のアプリケーションは以前と同じように続行できます。インターフェイス。

(実際には消費者向けではありませんでしたが、特注のエンタープライズ アプリの世界にどのような汚点が存在するかはわかりません。)

常に IE がハッキングされるという当惑の後、MS は、ファイルシステム ページのロックダウン設定を、インターネットの通常の Web ページよりも大幅に制限することで過剰な補償を行いました。そのため、特に正当な理由がなくても、ファイル システム外のファイルから JavaScript を実行することはできません。

この時点で Web 作成者が不満を漏らしたため、MS は過剰なロックダウンを削除することではなく、複雑なレイヤーを追加することで対応しました。したがって、ファイルの先頭に配置するだけで、マイ コンピューター ゾーンから抜け出すことができます。

<!-- saved from url=(0014)about:internet -->

この不可解な呪文は、Mark of the Webとして知られています。末尾の改行は Windows CRLF でなければなりません。単純な LF 改行を使用している場合は、これでうまくいきます。この文字列を含めると、JScript が動作する通常のインターネット ゾーンに入りますが、その他の特別な特権は得られません。

面白いことに、それ以来、マイ コンピュータ ゾーンの通常のセキュリティ設定が強化され、デフォルトのインターネット ゾーンとほぼ同じになっています。したがって、最終的な結果は、最初から血まみれの My Computer Zone を取り除いた場合と同じですが、ユーザーにとってはさらに多くの複雑さが増し、Web 作成者にとっては煩わしいだけです。

本当にありがとうマイクロソフト。

于 2009-10-07T21:32:18.813 に答える
7

Ken Browning があなたの質問へのコメントで述べたように、このアラートは、ローカル ページがある高セキュリティ ゾーンにある場合に JavaScript で発生します。

誰かがインターネットを高セキュリティ ゾーンとして使用している場合、警告が表示されます。

localhost を信頼済みサイト ゾーンに追加できます。

于 2009-10-07T17:05:37.120 に答える