Annexe 1 : modifications apportées à Internet Explorer 6 et au navigateur Internet Explorer 8
le tableau suivant décrit les modifications apportées entre Microsoft internet explorer 6 et Windows internet explorer 8.
Modifications de la conception d’Internet Explorer 6 vers Internet Explorer 7
Modifications de conception d’Internet Explorer 7 vers Internet Explorer 8
$ {ROWSPAN2} $Internet Explorateur de versions $ {REMOVE} $
recherchez du code qui ne présente pas des cas particuliers dans internet explorer 6, Windows internet explorer 7 ou internet explorer 8 par le biais de la détection de chaînes de l’agent utilisateur, des vecteurs de versions ou des commentaires conditionnels.
- Lorsqu’une chaîne d’agent utilisateur long rencontre un serveur qui accepte uniquement des chaînes UA plus courtes, les utilisateurs voient une page d’erreur.
- L’affichage de compatibilité dans Internet Explorer 8, qui est activé par défaut pour les sites intranet, envoie une chaîne de l’agent utilisateur d’Internet Explorer 7. Pour faire la différence entre Internet Explorer 7 et l’affichage de compatibilité, recherchez le nouveau jeton Trident.
Mises à jour de conformité de $ {ROWSPAN3} $ standards
- S’applique aux modes de document spécifiés.
- Le mode d’affichage de compatibilité Internet Explorer 8, activé par défaut pour les sites intranet, rétablit généralement les mises à jour de normes d’Internet Explorer 7 vers Internet Explorer 8.
- Utilisez l’en-tête http ou l’élément meta EMULATEIE7 X-UA-Compatible pour activer l’affichage de compatibilité sur des sites Web ou des pages Web spécifiques.
$ {REMOVE} $
Exception en mode Quirks : vous n’avez pas besoin d’apporter des modifications de conformité aux normes pour les pages Web qui spécifient le mode Quirks DOCTYPE (en définissant le commutateur DOCTYPE « normes-conformité » sur « désactivé »).
S'applique aux normes d'Internet Explorer 7 ou au mode « strict » et plus :
- Les projournals XML sur la première ligne du code source n’entraînent plus l’échec des déclarations DOCTYPE.
- La zone de débordement de contenu du modèle Box et n’augmente plus automatiquement la taille de la zone div pour s’adapter au contenu.
- Certains filtres CSS (par exemple, * HTML, trait de _ soulignement et/ * * /commentaire) ne sont pas pris en charge.
- Seul l’élément objet le plus à l’extérieur dans les objets imbriqués est instancié.
- Les applications qui reposent sur l’élément Select pour obtenir un HWND à utiliser avec les API Microsoft Win32 peuvent s’arrêter, car l' élément Select est désormais un contrôle sans fenêtre.
- Le format CDF (Channel Definition Format) n’est pas pris en charge, en faveur des flux RSS.
- XBM, format de création d’images conçu pour les systèmes X, n’est pas pris en charge.
- Les balises de base en dehors du document en-tête ne sont pas autorisées.
S'applique au mode standard d'Internet Explorer 8 et versions ultérieures :
- Les éléments P non fermés sont fermés automatiquement lorsqu’ils sont suivis par des éléments table, Form, noframeou NoScript .
- Le code HTML incorrect n’est pas pris en charge, en faveur du balisage valide bien formé.
- La syntaxe d' attribut « ClassName » n’est pas prise en charge, en faveur de la syntaxe « Class ».
- la collection d’attributs ne contient pas tous les attributs possibles que Windows Internet Explorer reconnaît.
- L’ordre des attributs a changé, ce qui affecte la collection d’attributs, InnerHtml et OuterHtml.
- GetElementById respecte la casse et ne recherche pas les attributs de nom.
- Les sélecteurs de préfixe CSS génériques (c’est-à-dire la \ syntaxe v :) ne * sont pas pris en charge, en faveur des noms de balises explicites.
- Les expressions CSS ne sont pas prises en charge, en faveur d’une prise en charge CSS améliorée ou d’une logique DHTML.
- Le code destiné aux méthodes d’objet JSON personnalisées peut être en conflit avec le nouvel objet JSON natif dans Internet Explorer 8.
- Les propriétés initiales non définies sur l’objet currentStyle retournent retournent leur valeur initiale.
- les valeurs des propriétés non spécifiées sur l’objet de style de l’objet currentstyle retournent retournent une chaîne vide (par exemple, consultez le Menu ASP.NET et le billet de blog sur les problèmes d’affichage IE8).
- Pour les sites et les applications où l’accessibilité est un problème, mettez à jour la syntaxe Aria à travers tous les modes de rendu d’Internet Explorer.
- Consultez la liste complète des mises à jour CSS d’Internet Explorer 6 vers Internet Explorer 8.
Améliorations de sécurité
- Appliquer quel que soit le mode de document.
- Vous pouvez désactiver les fonctionnalités de sécurité à l’aide de stratégie de groupe.
- Le contournement de Window. opener à l’invite window. Close n’est pas autorisé.
- la protection de la mise en cache d’objets est activée par défaut, ce qui bloque l’accès aux références d’objets quand les utilisateurs accèdent à un nouveau domaine (s’applique à Internet Explorer 6 et versions ultérieures sur Windows XP avec Service Pack 2 (SP2) et versions ultérieures).
- Les scriptlets DHTML sont désactivés par défaut.
- Les scripts qui écrivent dans la barre d’État sont bloqués.
- La création d’URL peut échouer si les URL ne respectent pas les instructions RFC.
- Les pages https affichent une page d’erreur si le site est configuré sur SSLv2 uniquement, ou si le certificat de sécurité du site est obsolète ou non valide, contient des erreurs ou un chiffrement faible.
- Seuls les noms de domaine internationaux codés « Punycode » sont pris en charge. D’autres formats tels que ANSI et UTF-8 sont bloqués.
- Les URL de script inter-domaines, la navigation redirigée dans les objets DOM et les navigations de frame sont bloquées.
- Les boîtes de dialogue modales ou non modales créées à partir du script peuvent sembler légèrement plus volumineuses.
- Affichage des protocoles non sécurisés -source, Gopher (au niveau de WinInet) et Telnet ne fonctionnent pas.
- Le filtre XSS est activé par défaut, ce qui bloque les modèles de script qui ressemblent le plus souvent à des attaques XSS de type 1, sauf si vous les désactivez via un en-tête HTTP X-XSS-protection.
- Les attaques de communication entre les documents inter-domaines comme le script src ne sont pas prises en charge, en faveur des fonctionnalités AJAX xdm et XDRplus sûres.
- Les sites compatibles AJAX qui manipulent manuellement le hachage de l’URL peuvent être interrompus par la nouvelle propriété de navigation Window. Location. Hash.
- Les nouvelles fonctionnalités AJAX comme xdm ont des Propriétés natives qui peuvent entrer en conflit avec des propriétés personnalisées existantes.
- Le contrôle de téléchargement de fichier envoie uniquement le chemin d’accès du fichier, et non le chemin d’accès complet au serveur.
- L’exécution du code HTML ou du script fourni avec un * type MIME « image/ » est bloquée.
- La navigation dans un cadre de niveau supérieur vers un site dans un contexte de sécurité différent ouvre une nouvelle fenêtre ou un nouvel onglet au lieu de naviguer dans le frame existant.
- le script encodé UTF-7 est forcé dans l’encodage Windows-1252, ce qui peut provoquer un rendu de texte brut.
- Les pages http/https « mode mixte » affichent une boîte de dialogue qui affiche par défaut les éléments sécurisés uniquement (par opposition à la valeur par défaut non sécurisée précédente). Les utilisateurs peuvent choisir par erreur de bloquer les éléments http, comme les images clés.
- DEP/NX est activé par défaut, ce qui bloque certains modules complémentaires (autrement dit, les contrôles ActiveX et les objets COM) qui sont générés à l’aide de versions antérieures d’ATL pour exécuter du code marqué comme « non exécutable » en mémoire.
- Le contenu renvoyé par un proxy Web est bloqué si aucun tunnel SSL n’est établi en réponse à une demande de connexion au serveur d’origine.
Modifications architecturales
- Appliquez quel que soit le mode de compatibilité ou le document.
- Le mode protégé est activé par défaut pour les zones Internet, intranet et sites sensibles. ce mode bloque les extensions de navigateur qui peuvent poser un risque de sécurité à partir de l’exécution et des applications à privilèges faibles de l’accès à des processus de privilège plus élevés, comme les menu Démarrer, le panneau de configuration et le registre de Windows Microsoft (s’applique à Internet Explorer 7 et versions ultérieures sur Windows Vista et versions ultérieures).
- Mise à jour du mode protégé: l’intranet s’exécute par défaut au niveau d’intégrité moyen (au lieu d’être faible).
- Internet Explorer faiblement couplé peut bloquer des modules complémentaires (c’est-à-dire des contrôles de ActiveX et des objets COM) qui effectuent l’une des opérations suivantes :
- Utilisez les techniques de hiérarchie Windows pour localiser les fenêtres Frame et onglet de l’interface utilisateur (qui s’exécutent désormais dans des processus distincts à des niveaux d’intégrité différents).
- Créez une sous-classe du frame de l’interface utilisateur (maintenant au niveau d’intégrité moyenne) à partir d’un processus d’onglets de faible intégrité.
- Utilisez des techniques de messagerie non prises en charge entre les onglets et la trame de l’interface utilisateur.