今天用C#封装了WebBrowser控件去打开一个本地页面,页面中包含了javascript脚本,该脚本通过WebBrowser的ObjectForScripting属性,访问C#代码。代码非常简单,但没想到打开页面的时候,WebBrowser报安全提示:“为帮助保护你的安全,你的Web浏览器已经限制此文件显示可能访问你的计算机的活动内容。单击此处查看选项…”。尼玛,这是我自己写的本地页面好不好,你WebBrowser管得太多了吧。
不过google一番后,WebBrowser或者说IE这么设定是有原因的。大致是如果用户把因特网上的网页保存到本地硬盘,再用IE打开的时候,网页将运行在Local Machine Zone中。XP SP2之前,Local Machine Zone的网页具有所有权限,这就造成了安全漏洞,因此从XP SP2后,Local Machine Zone中的网页就默认禁用ActiveX和脚本了。
具体可见以下两篇文档。
http://msdn.microsoft.com/en-us/library/ms537628%28v=vs.85%29.ASPX
我们这里说问题的解决办法,在页面文件的头部,加上以下字符串:
<!-- saved from url=(0016)http://localhost -->这个字符串的含义在上文提到的msdn文档中有说明,就是指示WebBrowser在Local Intranet Zone运行该网页。
另外,也探索了一些相关、但实际上无效的办法,记录并分析如下:
1. 怀疑是自己写的ActiveX有问题,因此给ActiveX加上IObjectSafety接口。
无效。实际上,即使本地网页没有加载ActiveX,只有一段空的<script></script>标记,也会触发安全警告。
2. 修改IE选项中的Internet和Local Intranet安全设置。
无效。本地网页是运行在Local Machine Zone中,与Internet和Local Intranet安全设置无关。
3. 修改IE高级选项中的“允许活动内容在我的电脑的文件中运行。
对IE有效。对WebBrowser控件无效。