上传到S3 - Chrome/Firefox中新的“不安全脚本”AKA“运行不安全内容”错误

Question

在我的Rails应用程序中，我允许用户直接将文件上传到S3。我正在通过iframe做这件事，上传是用Javascript进行的。

最近(比如上个月)，Chrome(和Firefox)的安全设置发生了一些变化，使得它不再自动运行这个脚本。相反，默认情况下，我上传脚本的某些部分会被阻塞。这意味着上传失败，除非您单击显示在URL栏右侧并显式允许脚本运行的屏蔽(请参阅附件)。

​

​

有谁知道我如何绕过这个问题，这样我的用户就不必每次都点击这个屏蔽(例如，我有办法吗？)或者有人知道我如何开始识别哪个脚本是“未经身份验证的”，这样我就可以避免出现这个问题了吗？

FYI，在我的开发人员控制台中弹出一个错误，同时出现屏蔽：

[blocked] The page at https://www.my_domain.com/seekers/new ran insecure content from http://s3.my_domain.com.s3.amazonaws.com/.

这是否意味着不安全的内容来自].com.s3.amazonaws.com？

Answer 1

这是否意味着不安全的内容来自域名].com.s3.amazonaws.com/？？

是。

有谁知道我如何绕过这个问题，这样我的用户就不必每次都点击这个屏蔽(例如，我有办法吗？)

除了从https域中为所有活性含量提供服务之外，没有其他方法。无论如何，允许这样的内容是一个真正的安全漏洞:它将允许中间人在飞行中替换未加密的数据流，允许他在安全站点的上下文中执行任意代码(窃取用户数据、用户会话或处理用户数据)。

或者有人知道我如何开始识别哪个脚本是“未经身份验证的”，这样我就可以避免出现这个问题了吗？

Firefox将向您展示整个URL，甚至显示启动加载的大致位置(包括URL)。行号(如果从另一个脚本启动)。例如，脚本标签：

Blocked loading mixed active content "http://example.org/test.js" @ https://example.org/testblock.html

从另一个脚本中注入脚本(请注意行号)：

Blocked loading mixed active content "http://example.org/test2.js" @ https://example.org/testblock.html:7

Answer 2

看看https://pages.github.com/。您可以将项目页面链接到包含.js文件的存储库，然后使用.io路径到该文件，使用https://在应用程序中获取它们。