不過前提是BSI只對Mozilla Firefox68（ESR）、Google Chrome76、Microsoft Internet Explorer11和Microsoft Edge 44進行了測(ce)試，并(bing)不包括 Safari、Brave、Opera 與 Vivaldi等瀏覽器。

此次(ci)測試(shi)是使用BSI于2019年(nian)9月發布的(de)“現代(dai)安(an)全(quan)瀏覽(lan)器”指(zhi)南(nan)中詳述(shu)的(de)規則進行的(de)。BSI通(tong)常(chang)根據(ju)該指(zhi)南(nan)就可以安(an)全(quan)使用哪些瀏覽(lan)器向政府機構(gou)和(he)私營公司提供建議。此次(ci)指(zhi)南(nan)更(geng)新(xin)完善了現代(dai)瀏覽(lan)器新(xin)增(zeng)和(he)改(gai)進的(de)安(an)全(quan)措施與機制，例如HSTS、SRI、CSP 2.0、遙測處理和(he)改(gai)進的(de)證書處理機制。

根(gen)據BSI的新指南，被認為安全(quan)的現代 Web 瀏覽(lan)器必(bi)須滿足(zu)以下最(zui)低要求：

必須支持TLS

必須具有受信(xin)任證(zheng)書的列表

必須支持(chi)擴展(zhan)驗(yan)證（EV）證書

必須根據(ju)證書吊銷列表(biao)（CRL）或在線(xian)證書狀態協議（OCSP）驗證加載的(de)證書

瀏覽器必須使用圖標或(huo)(huo)顏色高亮來顯示通信(xin)何時加密到遠程服務器或(huo)(huo)采用明(ming)文形式(shi)

僅(jin)在經過(guo)特定用戶(hu)的批準后，才允許連接(jie)到使用過(guo)期(qi)證書運行的遠程(cheng)網站(zhan)

必須支持 HTTP Strict Transport Security (HSTS) (RFC 6797)

必須(xu)支(zhi)持 Same Origin Policy (SOP)

必須(xu)支持 Content Security Policy (CSP) 2.0

必(bi)須支持子(zi)資(zi)源完整性（SRI）

必(bi)須(xu)支持(chi)自動更新

必(bi)須為關鍵的瀏覽(lan)器組(zu)件(jian)和擴展支持單獨的更新機(ji)制

必須對瀏覽器更新進行簽(qian)名(ming)和驗證

瀏覽(lan)器(qi)的密碼(ma)管(guan)理器(qi)必須以加密形式存儲密碼(ma)

必須僅在用戶輸入主密碼(ma)之后允許訪問瀏覽器(qi)的內置密碼(ma)庫

用(yong)戶必須能夠(gou)從瀏覽(lan)器(qi)的密碼管理器(qi)中刪除密碼

用戶必須(xu)能夠阻止或刪除 cookie 文件(jian)

用戶必須(xu)能(neng)夠阻止(zhi)或刪除(chu)自動完成歷史記錄(lu)

用戶必須能(neng)夠(gou)阻止或刪除(chu)瀏覽歷(li)史記錄

組織管理員必須(xu)能(neng)夠配置或阻止瀏覽器發送(song)遙(yao)測/使用(yong)數據

瀏覽(lan)器必須支持一(yi)種機制來(lai)檢查(cha)有害內容(rong)/URL

瀏覽器應(ying)允(yun)許組織運行本地存儲(chu)的 URL 黑名單(dan)

必須支(zhi)持一些設置，用(yong)戶可以在其中啟用(yong)/禁(jin)用(yong)插件(jian)、擴展或腳本(ben)

瀏覽(lan)器必(bi)須能(neng)夠導入集中(zhong)創建的配置(zhi)設置(zhi)，非(fei)常適合大規(gui)模企業部署(shu)

必須允許管理員禁用基于云的配置文件同(tong)步(bu)功能

必須在(zai)初始化后以最小的操作系(xi)統(tong)權(quan)限運(yun)行在(zai)操作系(xi)統(tong)中

必須支持沙箱

所有瀏(liu)覽器組件必須彼(bi)此(ci)隔(ge)(ge)離，并且與(yu)操作系統隔(ge)(ge)離。隔(ge)(ge)離組件之(zhi)間的(de)通信只能(neng)(neng)通過(guo)定義的(de)接口(kou)進行，不能(neng)(neng)直接訪問隔(ge)(ge)離組件的(de)資(zi)源

網頁需(xu)要(yao)(yao)彼(bi)此隔離，最好以獨立進程的形式，還要(yao)(yao)允(yun)許線程級(ji)隔離

必須使用支持(chi)堆(dui)棧和堆(dui)內存保護(hu)的(de)編程語言對瀏覽(lan)器進(jin)行編碼(ma)

瀏(liu)覽器供(gong)應(ying)商(shang)(shang)必須在公開披露安全漏洞后不超過21天提供(gong)安全更新(xin)。如果主瀏(liu)覽器供(gong)應(ying)商(shang)(shang)未能提供(gong)安全更新(xin)，則組織必須移至新(xin)的瀏(liu)覽器

瀏覽器必須(xu)使用OS內存保護，例如地(di)址(zhi)空(kong)間布(bu)局(ju)隨機(ji)化（ASLR）或數(shu)據執行保護（DEP）

組織管理員必須能(neng)夠管理或(huo)阻(zu)止(zhi)未經批準的附件/擴(kuo)展的安(an)裝

根(gen)據 BSI 的說(shuo)法，Firefox 是唯一(yi)支(zhi)持(chi)以上(shang)所有要(yao)求的瀏(liu)覽(lan)器，其它瀏(liu)覽(lan)器測試不通過的原因包括：

缺少對(dui)主密碼機制的支(zhi)持（Chrome、IE、Edge）

沒有內置的更新機制（IE）

沒有阻止遙(yao)測收集(ji)的選項（Chrome、IE、Edge）

不支持 SOP（IE）

不支持 CSP（IE）

不支持(chi) SRI（IE）

不(bu)(bu)支持瀏覽器(qi)配置(zhi)文件/不(bu)(bu)同的配置(zhi)（IE、Edge）

缺乏(fa)組織透明度（Chrome、IE、Edge）