electron这样使用更安全

已于 2023-12-15 11:16:08 修改
阅读量537 收藏
点赞数 1
文章标签: electron 安全 前端
于 2023-12-14 16:23:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongkid/article/details/134996926
版权

背景:

electron大家平时为了方便使用,或是一些网上demo的引导,会让渲染进程的业务界面支持直接使用nodejs,这种开发方式有一定的安全隐患,如果业务界面因为xss之类的漏洞被注入其他代码,危害非常大,属于最高等级的安全问题。那么怎样更好的避免发生这种问题呢?

一.禁止渲染进程页面直接使用nodejs,webPreferences这么配置

win = new BrowserWindow({
    webPreferences: {
      preload:"./preload.js",
      // Warning: Enable nodeIntegration and disable contextIsolation is not secure in production
      // Consider using contextBridge.exposeInMainWorld
      // Read more on https://www.electronjs.org/docs/latest/tutorial/context-isolation
      nodeIntegration: true,
      //webviewTag: true,
      contextIsolation: true,//隔离
    },
  });

二.通过preload配置,暴露允许使用调用的接口,preload配置的配置方式如上代码,内容如下例子:

import { contextBridge, ipcRenderer } from 'electron'

contextBridge.exposeInMainWorld('electronAPI', {
  openFile: () => ipcRenderer.invoke('dialog:openFile')
})

在渲染进程界面采用window.electronAPI.openFile()方式调用,为了让渲染进程足够安全,建议设计这里的接口尽量做到仅暴露必要函数和参数,不要直接把诸如electron对象暴露给页面界面,这种事情干多了,这个安全隔离的意义就会逐渐消失。

渲染进程与preload通讯的另外一种方式,通过postmessage,举例

preload.js

window.onmessage = (ev) => {
  ev.data.payload === "removeLoading" && removeLoading();
};

渲染页js

postMessage({ payload: "removeLoading" }, "*");

这种方式相比第一种更加安全一点(暴露的信息更加隐蔽),但使用起来比较麻烦,可能需要进一步封装

三:其他问答:

1.preload.js在跳转到新地址后还会不会存在?

答:会,每次发生跳转preload.js都会重新加载进来,跟普通加载js一样,所以这个js的变量并非持久化的

2.采用exposeInMainWorld暴露的接口需要注意什么?

答:exposeInMainWorld暴露的接口,是拷贝当前对象的属性,并不是真的把属性的引用暴露出来,例如暴露的属性是一个 new EventEmitter对象,你想在业务界面访问这个属性的on方法是访问不到的。

3.preload跟主进程通讯方式

方式一:invoke和handle的组合

//preload.js
let a = ipcRenderer.invoke('xxx')

//main.js
ipcMain.handle('xxx', async ()=>{
return "123"
})

方式二:on和send的组合

// 在主进程中.
const { ipcMain } = require('electron')
ipcMain.on('asynchronous-message', (event, arg) => {
  console.log(arg) // prints "ping"
  event.reply('asynchronous-reply', 'pong')
})

ipcMain.on('synchronous-message', (event, arg) => {
  console.log(arg) // prints "ping"
  event.returnValue = 'pong'
})
/在渲染器进程 (网页) 中。
const { ipcRenderer } = require('electron')
console.log(ipcRenderer.sendSync('synchronous-message', 'ping')) // prints "pong"

ipcRenderer.on('asynchronous-reply', (event, arg) => {
  console.log(arg) // prints "pong"
})
ipcRenderer.send('asynchronous-message', 'ping')

hongkid
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
electron 模块介绍和安全设置
08-08
electron 模块介绍,以及配置 安全策略 csp
Electron 安全检查清单.docx
09-28
1. **使用最新版本的 Electron**:新到最新版本能修复已知的安全漏洞,例如通过Electron 来避免 nodeIntegration 绕过攻击。 2. **评估 NPM 依赖**:选择可靠的第三方库,避免使用有已知漏洞或维护不佳的库,...
electron 中 preload.js 是干嘛的
https://github.com/QAQDFAFD
03-14 1060
是一个特殊的脚本文件,它在渲染进程(即 Electron 的网页页面)加载之前运行,并且在渲染进程的上下文中执行。方法,开发者可以将 Node.js 的模块或 Electron 的功能安全地暴露给渲染进程的页面。运行在一个特殊的上下文中,它与页面的普通 JavaScript 环境是隔离的。方法暴露给了渲染进程。可以作为模块化管理的入口,将一些通用的逻辑或工具函数预先加载到渲染进程中,以便在不同的页面或组件中复用。中,可以初始化一些全局的状态或功能,这些状态或功能可以在渲染进程中的任何页面或组件中使用
Electron入门教程2 ——进程模型
weixin_50216991的博客
04-17 2329
欢迎来到Electron的第二期入门教程,上一期我们从零开始编写并发布了第一个简单的windows桌面应用程序,对electron的项目结构等也有了基本了解。这一期开始,会继续深入地学习Electron的其他知识点,这一节概念性的东西会比较多,虽然后面也有实操的点,但重在理解。上一节写preload.js的时候,就提到过进程相关的概念,但是并没有详细地去学习。Electron继承了Chromium的多进程架构,这使得该框架架构与现代web浏览器非常相似。 ✧ 为什么不是单个进程? Web浏览器是非常复杂.
使用Electron读取本地文件
最新发布
ch_s_t的专栏
06-13 1788
Electron原来叫Atom Shell ,可以用Web技术搭建桌面端程序,以Electron为基础,可以用HTML,CSS和javascriptpt实现程序逻辑和用户桌面,Electron程序一般有主进程和渲染进程,主进程是启动程序的Node脚本,提供对原生的node模块访问。渲染进程是由chromium管理的Web界面。以下的内容介绍从零开始搭建一个读取本地文件的Electron项目。
构建第一个 Electron 桌面应用
yiyi_11的博客
04-06 2156
最近对electron有点感兴趣,那就动手试试呗,构建第一个 Electron 桌面应用!
2 - Electron 核心概念
violetta521的博客
12-14 829
require是nodejs环境语法,可以在主进程中使用,但不能渲染进程中使用。当我们想在index.html(渲染进程)中想访问文件时。渲染进程 发送与打印。
electron 使用ipcRenderer,ipcMain 实现进程之间的通信
qq_40693662的博客
02-04 2044
通过ipcApi 这个类 就 代替了 preload.js 作为中转绑定的效果。
Electron中的流程
顺其自然~专栏
10-25 366
Electron 继承了来自 Chromium 的多进程架构,这使得此框架在架构上非常相似于一个现代的网页浏览器。本指南将对中应用的概念进行拓展。
一个快速且小型的 Rust 库,使 Electron 应用程序安全
06-28
有关其工作原理的多详细信息,请参阅其自述文件。用法图书馆该库公开了一个简单且可配置的接口:use electron_hardener:: {ElectronApp, Fuse, NodeJsCommandLineFlag};letmut app= ElectronApp::from_bytes (&amp...
secure-electron-store:使用ipcMainipcRenderer的安全电子商店
04-19
这是的紧密副本/分叉,它使用IPC(而不是直接具有“ fs”访问权限)进行通信并封送读取/写入本地配置文件的请求。 该模块专门构建为在。 数据以键/值对的形式保存在.json文件中。 入门 要设置安全电子存储,请按照...
electron 使用 electron-builder 打包所需工具 winCodeSign-2.6.0.zip
12-25
使用 `Electron Builder` 进行打包时,如果指定了 `winCodeSign`,它会自动调用这些工具,使用开发者提供的证书对最终的 `.exe` 文件进行签名。 在实际操作中,你可能需要以下步骤来使用 `Electron Builder` 和 `...
基于Vite+Vue3+Electron整了一个桌面应用模板
10-24 3553
随着前端新迭代,基于js/ts开发的桌面应用框架也越来越多,从heX,electron,nwjs到tauri,Qt,以及Rn和flutter也有桌面应用业务。而今天的主角正是electron,作为一款2013年推出的桌面应用开发框架,其运行于Chromium内核以及node平台,使得开发者可以使用html+css+js进行开发,然而它的缺点也比较明显,构建时可是带上了整个Chromium。但是作为一款经典的JS桌面应用框架,咱还是得了解一二的。下面给大家分享一下近期的项目搭建心得。
electron( contextBridge 模块)主进程与渲染进程的安全问题
miaoLovesen的博客
12-19 785
如果渲染进程可以随意访问主进程或者预加载脚本的任意对象,那就意味着网页可以随意操作我们的electron浏览器,乃至系统的底层功能,这是非常不安全的。基于安全性的考虑,electron提供了。暴露进程间通信相关 API 的正确方法是为每一种通信消息提供一种实现方法。这种情况,渲染进程可以访问预加载脚本中任何想要访问的暴露接口。
electron进程通信之预加载脚本和渲染进程对主进程通信
weixin_45799605的博客
01-02 847
【代码】electron进程通信之预加载脚本和渲染进程对主进程通信。
Electron安全防护实战:应对常见安全问题及权限控制措施
与墨的编程成长历程
03-31 1561
构建安全Electron 应用是一项系统工程,涉及权限管理、内容安全新流程、硬件权限控制、第三方模块选择、数据加密、进程间通信安全、敏感信息保护以及应用启动自检等多个层面。通过深入理解并积极应对上述常见安全问题,结合文中提供的实战代码示例和最佳实践,开发者能够有效地提升 Electron 应用的安全性,为用户打造一个既功能丰富又安全可靠的桌面应用环境。持续关注安全动态:及时了解并应对新的安全威胁和漏洞,定期新依赖,运用安全工具进行项目审计。实施纵深防御。
electron 基础项目搭建 &&主线程和渲染线程的通信
weixin_46087056的博客
06-23 1337
electron 基础项目搭建,简单的项目实现 主线程和渲染线程的通信 下面中提到的contextBridge是两个线程通信方式 --- 桥接模式
electron进程通信
前端萌新
05-22 388
.
Electron 】进程间通信的最佳实践例子
纠缠AI的亮子
07-15 886
Electron 发展变化太快,关于进程通信,下面是最新的例子,亲测有效: main.js app.whenReady().then(() => {` let mainWindow = new BrowserWindow({` webPreferences: { preload: path.join(__dirname, 'preload.js'), contextIsolation: true },
Electron安全清单:保障桌面应用免受威胁
本文档是一份针对Electron安全设计的详细清单,旨在帮助开发者在利用这一基于Chromium和Node.js构建的框架构建桌面应用时,充分理解并管理潜在的安全风险。由于Electron允许开发者使用HTML、CSS和JavaScript创建功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值