1

私の Rails アプリでは、ユーザーがファイルを S3 に直接アップロードできるようにしています。私は iframe を介してこれを行っており、アップロードは Javascript で行われます。

ごく最近 (先月など)、Chrome (および Firefox) のセキュリティ設定が変更され、このスクリプトが自動的に実行されなくなりました。代わりに、アップロード スクリプトの一部がデフォルトでブロックされています。これは、URL バーの右側に表示されるシールド (添付ファイルを参照) をクリックしてスクリプトの実行を明示的に許可しない限り、アップロードが失敗することを意味します。

シールド

ユーザーが毎回このシールドをクリックする必要がないように、これを回避する方法を誰かが知っていますか?この問題が最初から発生するのを避けることができますか?

参考までに、シールドが表示されると同時に開発者コンソールにエラーが表示されます。

[blocked] The page at https://www.my_domain.com/seekers/new ran insecure content from http://s3.my_domain.com.s3.amazonaws.com/.

これは、安全でないコンテンツがhttp://s3.[my_domain].com.s3.amazonaws.com/から来ているということですか?

4

2 に答える 2

0

これは、安全でないコンテンツが http://s3.[my_domain].com.s3.amazonaws.com/ から来ているということですか?

はい。

ユーザーが毎回このシールドをクリックする必要がないように、これを回避する方法を誰かが知っていますか?

すべてのアクティブ コンテンツを https ドメインから提供する以外に方法はありません。とにかく、そのようなコンテンツを許可することは、実際のセキュリティ上の脆弱性です。中間者攻撃者が飛行中の暗号化されていないデータ ストリームを置き換えることを可能にし、安全なサイトのコンテキストで任意のコードを実行することを可能にします (ユーザー データを盗むために、ユーザーセッションまたはユーザーデータの混乱)。

または、どのスクリプトが「認証されていない」かを特定し始める方法を知っている人はいますか?

Firefox は、完全な URL と、ロードが開始されたおおよその場所 (別のスクリプトから開始された場合は行番号を含む) を表示します。例: スクリプト タグ: 

Blocked loading mixed active content "http://example.org/test.js" @ https://example.org/testblock.html

別のスクリプトから挿入されたスクリプト (行番号に注意してください):

Blocked loading mixed active content "http://example.org/test2.js" @ https://example.org/testblock.html:7
于 2013-10-17T01:08:42.107 に答える