我有一个站点,您可以从中下载 HTML 文件。此 HTML 文件包含一个带有隐藏字段的表单,该表单会立即使用 JavaScript 发布回站点。这是一种允许用户将他们在网站上编辑的数据下载到他们自己的机器上的方法。
在某些机器上,当您尝试打开您保存的文件时,您会看到一个 IE“黄条”。IE 中的“黄条”警告 HTML 正在尝试运行 Active X(事实并非如此,只有 JavaScript 在表单上执行 submit())。但是,如果您通过电子邮件收到完全相同的 HTML 文件,将其保存并打开,则不会出现此问题。(看起来 IE 对您从网站保存的 HTML 文件中可以执行的操作施加了更多限制。)
我的问题是:在哪里可以找到有关此 IE 安全机制的文档,以及如何绕过它?
亚历克斯
黄色条是因为您的页面正在 IE 的本地计算机安全区域中执行。在不同的机器上,本地机器安全区域的配置方式可能不同,因此您可以在某些机器上看到黄色条,而在其他机器上看不到它。
要了解有关 IE 的 URL 安全区域的更多信息,您可以从此处开始阅读:http: //msdn.microsoft.com/en-us/library/ms537183.aspx
在此处查看有关MOTW 的详细信息 - Mark Of The Web
如果将此添加到本地提供的页面,IE 将不会显示黄色条。
http://msdn.microsoft.com/en-us/library/ms537628(VS.85).aspx
我不使用任何特定的文档,但是如果您在 Windows 资源管理器中的常规选项卡上打开文件的属性,文件是否被阻止?如果是这样,请单击取消阻止并重试,看看您是否遇到同样的问题。这是从 Internet 下载的文件的典型安全性。
除此之外,恐怕我不知道还有什么建议。
我不会 100% 遵循您的 JavaScript 提交的内容,但如果您从下载的副本提交回原始站点,则使用 JavaScript 会出现问题,因为所有浏览器都将跨域 JavaScript 视为安全违规。
不允许 JavaScript 读取或写入不在当前域中的任何站点
正如弗朗西所说,这是因为您处于本地计算机安全上下文中,这允许脚本创建对象并执行可能对您的 PC 造成伤害的代码。例如,您可以创建一个文件系统对象并执行不受信任的页面通常不应该执行的任务,因为它本质上可能是恶意的。
您是否尝试将文件名从 yourname.html 更改为 yourname.hta 以查看安全问题是否消失?
有关 HTML 应用程序(.HTA 文件)的更多信息:http: //msdn.microsoft.com/en-us/library/ms536496%28VS.85%29.aspx