上載到S3-Chrome / Firefox中出現新的“不安全腳本” AKA“內容不安全”錯誤

Question

在我的Rails應用程序上，我允許用戶直接將文件上傳到S3。 我正在通過iframe進行此操作，並且上傳是使用Javascript進行的。

最近（例如上個月），Chrome（和Firefox）的安全設置發生了一些變化，因此它不再自動運行此腳本。 相反，默認情況下，我的上傳腳本的某些部分被阻止 。 這意味着，除非您單擊URL欄右側出現的防護欄（請參閱附件）並明確允許腳本運行，否則上傳將失敗。

有人知道我該如何解決這個問題，這樣我的用戶就不必每次都單擊該保護罩（例如，有沒有辦法？或者有人知道我可以如何開始識別哪個腳本未經身份驗證），所以我可以避免這個問題開始出現？

僅供參考，在出現防護罩的同時，我的開發人員控制台中會彈出一個錯誤：

[blocked] The page at https://www.my_domain.com/seekers/new ran insecure content from http://s3.my_domain.com.s3.amazonaws.com/.

這是否意味着不安全的內容來自http：// s3。[my_domain] .com.s3.amazonaws.com / ？

Answer 1

這是否意味着不安全的內容來自http：// s3。[my_domain] .com.s3.amazonaws.com /？

是。

有誰知道我該如何解決這個問題，這樣我的用戶就不必每次都單擊此盾牌（例如，我有辦法嗎？

除了提供https域中的所有活動內容外 ，別無其他方法。 無論如何，允許此類內容都是一個真正的安全漏洞：中間人攻擊者可以替換飛行中的未加密數據流，從而允許他在安全站點的上下文中執行任意代碼（以竊取用戶數據，用戶會話或混亂的用戶數據）。

還是有人知道我如何才能開始識別哪個腳本是“未經身份驗證的”，所以我可以避免這個問題開始出現？

Firefox將顯示完整的URL，甚至顯示啟動加載的大致位置（如果從另一個腳本啟動，則包括行號）。 例如腳本標簽：

Blocked loading mixed active content "http://example.org/test.js" @ https://example.org/testblock.html

從另一個腳本注入的腳本（注意行號）：

Blocked loading mixed active content "http://example.org/test2.js" @ https://example.org/testblock.html:7

Answer 2

查看https://pages.github.com/ 。 您可以將項目頁面鏈接到包含.js文件的存儲庫，然后使用文件的.io路徑通過https：//在應用程序中獲取它們