之前简单写过一篇介绍OSS几种上传方式对比的文章（阿里云OSS上传方式对比），其中最不建议的就是使用js前端直传的方式，下面本文将结合实际例子，看看它为什么不安全。

一、如何判断目标站点是不是使用了OSS的前端直传

按F12打开浏览器的调试窗口，然后进行在web的上传页面进行文件上传操作，如果浏览器Console窗口出现了类似以下的信息（please use STS for safety……）则说明采用的是不安全的前端直传。

意思就是阿里oss的前端直传的js sdk提示为了安全起见，使用STS授权前端的模式进行上传，而不要直接把阿里云oss的AccesssKey[……]

非常重要的注意事项：如果使用了网上很多方法都没有搞定python引用其他文件夹下py文件，请确保你运行主程序的时候不是直接拖到dos窗口中执行的！ 导入的文件命名必须符合Python命名标准，不能是纯数字或像test这种关键字等。

方法一、能够最快解决现有引用问题，但是不够灵活换个电脑环境或文件目录就得修改

无论你的主运行py文件在哪与需要引用的目标py文件是什么层级关系，可以直接将目标文件所在的绝对路径写入sys.path中。假设需要引用的文件位置在D:\Python\ranjuantest\hello.py

方法二、使用伪相对目录引用，但是注意pyth[……]

js内容如下，F12打开浏览器调试，粘贴到右下脚的Console控制台回车后点击你需要循环模拟鼠标点击的按钮即可开始自动操作。也可以在浏览器新建一个书签网址一栏输入下面的js代码，然后打开目标网页后选择刚才新建的书签，点击网页上需要模拟鼠标点击的元素即可自动开始点击。

如果需要停止F5浏览器刷新当前页面即可。

[……]

以下代码在win64位python3.7.6下运行良好，whitelist = [‘php’]指定需要在文件夹中需要批量操作的文件后缀名。本python代码修改后适用于php代码注释及空行（含tab行）的删除，如果清除其他类型的源码注释，需要修改相关代码。

另外本代码最原始的功能是用来统计文件中有效代码行数的，这里稍微做了修改，批量测了下5个php、html混合文件没有发现问题（在同一行有效代码后的 注释文件不会删除）

因为最近有申请软著的打算，所以需要一个批量清除注释的东西，找了很久才发现上面这个代码改改还是很好用的。另外如果想要统计代码行数的话可以试试这个软件——S[……]

不建议此方法的原因见这篇文章：被泄露的OSS密钥（阿里云OSS使用前端直传的危害）

参考阿里云官方教程：JavaScript客户端签名直传

官方提示注意事项

• 在客户端通过JavaScript代码完成签名，无需过多配置，即可实现直传，非常方便。但是客户端通过JavaScript把AccesssKeyID和AccessKeySecret写在代码里面有泄露的风险，建议采用服务端签名后直传。
• 本文档提供的应用服务器代码支持html5、flash、silverlight、html4等协议，请保证您的浏览器支持以上协议。若提示“你的浏览器不支持flash,Silverlight或者HTML[……]