Security 网站如何在IE中运行而不要求；是否允许脚本/activeX“；？_Security_Internet Explorer

Security 网站如何在IE中运行而不要求；是否允许脚本/activeX“；？

security internet-explorer

Security 网站如何在IE中运行而不要求；是否允许脚本/activeX“；？,security,internet-explorer,Security,Internet Explorer,我尝试过谷歌搜索，但没有找到任何好的线索我有一个正在测试的网页（它是本地机器上的html文档）加载时，IE询问是否允许脚本和activeX（我不明白为什么它们被认为同样危险）像cnn.com和stackoverflow.com这样的热门网站不会问我是否想运行脚本，他们只是问。这是如何发生的，为什么会发生？我需要做些特别的事情来防止这种事情发生吗？（有一个提示，但我不想让我的普通用户看到这个提示）这是因为这些站点不是在本地运行的，而是在其他地方的其他服务器上运行的如果你查看IE的工具->互

我尝试过谷歌搜索，但没有找到任何好的线索

我有一个正在测试的网页（它是本地机器上的html文档）

加载时，IE询问是否允许脚本和activeX（我不明白为什么它们被认为同样危险）

像cnn.com和stackoverflow.com这样的热门网站不会问我是否想运行脚本，他们只是问。这是如何发生的，为什么会发生？我需要做些特别的事情来防止这种事情发生吗？（有一个提示，但我不想让我的普通用户看到这个提示）

这是因为这些站点不是在本地运行的，而是在其他地方的其他服务器上运行的

如果你查看IE的工具->互联网选项，看看安全、隐私，尤其是“高级”。你会看到一大堆选项。

不知何故，IE对本地文档的信任程度低于互联网上的文档。这是违反直觉的。但我相信这是有原因的。。。然而，没有理由或解释的是，如果

<!-- saved from url=(0017)http://localhost/ -->

在你的文件顶部，我会更信任它

（还有，为什么StackOverflow上没有WTF标记？急需）

导入以下注册表（将以下内容保存为.reg文件）您可以让IE ActiveX始终处于启用状态，而无需询问您的决定

Windows注册表编辑器5.00版

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"NoUpdateCheck"=dword:00000001
"NoJITSetup"=dword:00000001
"Disable Script Debugger"="yes"
"Show_ChannelBand"="No"
"Anchor Underline"="yes"
"Cache_Update_Frequency"="Once_Per_Session"
"Display Inline Images"="yes"
"Do404Search"=hex:01,00,00,00
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Save_Session_History_On_Exit"="no"
"Show_FullURL"="no"
"Show_StatusBar"="yes"
"Show_ToolBar"="yes"
"Show_URLinStatusBar"="yes"
"Show_URLToolBar"="yes"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Use_DlgBox_Colors"="yes"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Check_Associations"="yes"
"FullScreen"="no"
"Window_Placement"=hex:2c,00,00,00,00,00,00,00,01,00,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,e9,00,00,00,b4,00,00,00,75,04,00,00,54,05,00,\
  00
"Expand Alt Text"="no"
"Move System Caret"="no"
"NscSingleExpand"=dword:00000001
"DisableScriptDebuggerIE"="yes"
"Error Dlg Displayed On Every Error"="no"
"NoWebJITSetup"=dword:00000000
"Page_Transitions"=dword:00000001
"FavIntelliMenus"="no"
"Enable Browser Extensions"="yes"
"UseThemes"=dword:00000001
"Force Offscreen Composition"=dword:00000000
"NotifyDownloadComplete"="yes"
"AllowWindowReuse"=dword:00000001
"Friendly http errors"="yes"
"ShowGoButton"="yes"
"SmoothScroll"=dword:00000001
"Enable AutoImageResize"="yes"
"Enable_MyPics_Hoverbar"="yes"
"Play_Animations"="yes"
"Play_Background_Sounds"="yes"
"Display Inline Videos"="yes"
"Show image placeholders"=dword:00000000
"Print_Background"="no"
"AutoSearch"=dword:00000005

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]
"iexplore.exe"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings]
"LOCALMACHINE_CD_UNLOCK"=dword:00000000

默认情况下，您可以始终为脱机和联机启用ActiveX。转到：

工具>互联网选项>高级>安全性：

(✓) Allow active content from CDs to run on My Computer
(✓) Allow active content to run in files on My Computer

所以一旦我把它挂起来，我就看不到这个了？@sova-no。把它放在网络服务器上，自己看看。令人惊讶（也令人愤怒）。格雷西丝，我不明白这个逻辑。互联网上的脚本也以我的身份运行。为什么IE比本地脚本更信任它们？本地脚本可以访问本地区域中运行在internet区域中的脚本无法访问的内容。所以，是的，它问你是否确定。如果你在做本地web开发，你应该运行一个本地web服务器。很吸引人，也很恼火。@sova当我输入这个时，我仍然希望有人能来这里向我解释为什么它会这样工作。。。或者告诉我没有。@MK。这里有一个详细的解释：基本上，本地文档中的脚本可以访问计算机的全部内容。如果攻击者能够诱使您将一些HTML（例如电子邮件）保存到本地文件中，并且您打开了该文件，则攻击者将有效地获得对您计算机的完全访问权限。谢谢？我不认为我的普通用户会愿意运行regedit。。。但这很有趣。你能解释一下你的答案吗？我不知道哪一行会改变它。。最后一个？有几行可以更改设置。我通过regmon捕获了这些变化。如果您在测试之前将其导入注册表，则它应该适用于您在本地计算机上的测试。但是，如果您想绕过用户计算机上的internet安全设置，则应将其视为攻击。