微軟IE安全計劃經(jīng)理Eric Lawrence7月2日在部落格中揭露了IE 8的新安全功能，目前IE 8已處于公開測試階段，而新的安全功能則可望在8月出爐的IE 8 Beta 2中露面。 

　　Lawrence表示，安全是進行可信賴網(wǎng)絡瀏覽的核心特質，而IE 8則提供重大的改善以解決逐漸增加的網(wǎng)絡安全問題。IE團隊將網(wǎng)絡威脅分為三個類別，分別是網(wǎng)絡應用程序漏洞、瀏覽器及插件漏洞，以及社交工程威脅等，IE 8則針對不同的威脅提供多種防范措施。 

　　在網(wǎng)絡應用程序漏洞部份，IE 8新增了跨站攻擊（Cross-Site-Scripting，XSS）防御、支持更安全的混搭程序建置、更新MIME（Multipurpose Internet Mail Extensions）管理等。Lawrence說，XSS已凌駕緩沖區(qū)溢出，成為最常見的軟件漏洞，它利用網(wǎng)絡應用程序的漏洞以竊取用戶的瀏覽紀錄或其他數(shù)據(jù)，甚至用來發(fā)動其他攻擊，因此IE 8提供了XSS過濾裝置以避免相關惡意軟件的執(zhí)行。不過，Lawrence也建議網(wǎng)站業(yè)者必須同步消除網(wǎng)絡應用程序中的XSS漏洞才能確保網(wǎng)絡安全。 

　　此外，混搭程序的盛行也導致開發(fā)人員所引用的第三方應用程序可能直接存取網(wǎng)站上的文件對象模型（DOM）與非HttpOnly Cookie。因此，IE 8對HTML 5跨文件傳訊的支持功能可讓IFRAME間的溝通更安全同時可隔離DOM，并提供XDomainRequest對象以提供跨網(wǎng)域取得公開數(shù)據(jù)時的網(wǎng)絡安全。在MIME的管理上，IE 8更新了處理圖像文件的方式，如果該圖像文件的下載服務器說明這是一個圖像文件，那么IE 8就不會執(zhí)行嵌在圖像文件中的描述性程序，以防止黑客透過圖像文件寄送惡意軟件或連結。 

　　在瀏覽器防御部份，提供安全插件功能、更新保護模式、應用程序協(xié)議提醒功能及檔案上傳控制等功能；在社交工程威脅部份，改善了網(wǎng)址列功能、新增SmartScreen過濾裝置。 

　　Lawrence說明，應用程序協(xié)議處理器可讓第三方的應用程序直接自窗口中的瀏覽器或其他應用程序執(zhí)行，該功能非常的強大，再加上有些注冊為協(xié)議處理器的應用程序含有許多漏洞使得它成為黑客攻擊途徑，因此IE 8在執(zhí)行這些應用程序協(xié)議時新增了提醒功能。而檔案上傳功能經(jīng)常成為信息泄露的管道，因此IE 8更新了檔案上傳控制功能，包括將檔案路徑編輯窗口設為只讀，以及關閉"上傳檔案時包括區(qū)域目錄路徑"的默認。 

　　至于防止社交工程威脅方面，則是在網(wǎng)址列上用黑字強調特定網(wǎng)站關鍵的域名，同時透過不同的網(wǎng)址列顏色來區(qū)分安全或是具威脅的網(wǎng)站，供使用者容易識別；SmartScreen過濾工具強化了7.0所使用的網(wǎng)釣過濾機制，防堵的不再只是釣魚網(wǎng)站，同時還包括含有惡意軟件的網(wǎng)站，提供全面的惡意軟件防御能力。