Electron使用preload预加载及安全策略

已于 2023-05-12 18:27:42 修改
阅读量8.6k 收藏 13
点赞数 2
分类专栏: Node.js Electron JavaScript 文章标签: electron javascript ecmascript
于 2022-10-27 13:41:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30386941/article/details/127550392
版权
Node.js 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
Electron
2 篇文章 0 订阅
订阅专栏
JavaScript
2 篇文章 0 订阅
订阅专栏

使用 Electron 很重要的一点是要理解 Electron 不是一个 Web 浏览器。 它允许您使用熟悉的 Web 技术构建功能丰富的桌面应用程序,但是您的代码具有更强大的功能。 JavaScript 可以访问文件系统,用户 shell 等。 这允许您构建更高质量的本机应用程序,但是内在的安全风险会随着授予您的代码的额外权力而增加。

事实上,最流行的 Electron 应用程序(Atom,Slack,Visual Studio Code 等) 主要显示本地内容(即使有远程内容也是无 Node 的、受信任的、安全的内容) - 如果您的应用程序要运行在线的源代码,那么您需要确保源代码不是恶意的。

一、preload

preload是electron的预加载机制,可以理解为在electron创建时将nodejs环境加载到渲染进程中使用。程序的进程是相互独立的,electron中渲染进程和主进程的协同工作一般采用IPC进程通信或者在渲染进程中集成node环境,还有早期比较低效的remote模块方式使用node环境。除非保证渲染进程的JavaScript都是可信安全的,否则不推荐在渲染进程集成node环境。使用preload的目的是在electron中不开启node环境集成情况下使用node的模块,避免不安全的JavaScript代码随意使用node环境。
preload的工作是在创建窗体时预加载需要node模块到渲染进程,然后以API方式暴露给渲染进程调用,preload共享渲染进程的window、document对象,因此preload可以轻松操作DOM,而渲染进程不共享preload的global对象。

preload.js

const { contextBridge, ipcRenderer} = require('electron');
const fs = require('fs'); 

contextBridge.exposeInMainWorld('fsApi', {
    writeFile: (filename, text, callback) => {
        fs.writeFile(filename, text, callback);
    },
    readFile: (filename, encode,  callback) => {
        fs.readFile(filename, encode, callback);
    },
    unlink: (filename, callback) => {
        fs.unlink(filename, callback);
    }
});

contextBridge.exposeInMainWorld('ipcRendererApi', {
    send: (channel, args) => ipcRenderer.send(channel, args),
    once: (channel, listener) => ipcRenderer.once(channel, listener),
    on: (channel, listener) => ipcRenderer.on(channel, listener),
});

调用预加载API

ipcRendererApi.send('close', args)

二、安全策略

(一)webPreferences属性

Electron安全策略几乎都在webPreferences属性中设置,通过属性来开启或者关闭渲染进程相关安全选项。

属性默认作用说明
nodeIntegration

nodeIntegrationInWorker		true/falsefalse渲染进程集成node环境默认关闭,当渲染进程加载远程内容时必须关闭,远程内容不确定性,避免跳过渲染进程在node环境下执行JS脚本。webview中同样不推荐使用nodeIntegration属性。<webview nodeIntegration src="page.html"></webview>
preload预加载脚本当禁用Node.js集成时,你依然可以暴露API给你的站点以使用Node.js的模块功能或特性。即预加载node模块到渲染进程使用,另外预加载的模块可以直接访问渲染进程的DOM。
electron早期继承remote模块,用于在渲染进程调用主进程的功能,当前最新的electron已经不是默认模块需要另外安装,使用remote模块相比较于IPC通信更低效,建议使用IPC与主进程通信。
contextIsolationtrue/falsetrue开启JS上下文隔离默认开启,即便使用了 nodeIntegration: false, 要实现真正的强隔离并且防止使用 Node.js 的功能, contextIsolation 也 必须 开启。一般情况下结合nodeIntegration一起使用。
webSecuritytrue/falsetrue安全性功能在渲染进程(BrowserWindow、BrowserView 和 <webview>)禁用webSecurity,这将使得来自其他站点的非安全代码被执行。
allowRunningInsecureContenttrue/falsefalse允许运行不安全内容默认情况下,Electron不允许网站在HTTPS中加载或执行非安全源(HTTP) 中的脚本代码、CSS或插件。 将allowRunningInsecureContent属性设为true将禁用这种保护。
experimentalFeaturestrue/falsefalse实验性功能实验性功能是实验性的,尚未对所有 Chromium 用户启用。
enableBlinkFeaturesBlink渲染引擎特性通常来说,某个特性默认不被开启肯定有其合理的原因。 针对特定特性的合理使用场景是存在的。 作为开发者,你应该非常明白你为何要开启它,有什么后果,以及对你应用安全性的影响。 在任何情况下都不应该推测性的开启特性。

(二)加载安全内容

在渲染进程中只加载HTTPS的安全内容

main.js (Main Process)

// 不推荐
browserWindow.loadURL ('http://example.com')
// 推荐 
browserWindow.loadURL ('https://example.com')

index.html (Renderer Process)

<!-- 不推荐 -->
<script crossorigin src="http://example.com/react.js"></script>
<link rel="stylesheet" href="http://example.com/style.css">

<!-- 推荐 -->
<script crossorigin src="https://example.com/react.js"></script>
<link rel="stylesheet" href="https://example.com/style.css">

(三)启用进程沙盒化

您应该在所有渲染器中启用沙盒。 不建议在一个未启动沙盒的进程(包括主进程)中加载、阅读或处理任何不信任的内容。Electron20及以后的版本默认开启沙盒,这导致preload加载nodejs的插件报错,在确保当前程序的代码安全性的前提下可以手动关闭沙盒。详情

(四)限制请求会话权限

通过session来过滤请求协议或者域名,electron该API基于Chromium permissions API实现。

main.js (Main Process)

const { session } = require('electron')
const URL = require('url').URL

session
  .fromPartition('some-partition')
  .setPermissionRequestHandler((webContents, permission, callback) => {
    const parsedUrl = new URL(webContents.getURL())

    if (permission === 'notifications') {
      // Approves the permissions request
      callback(true)
    }

    // Verify URL
    if (parsedUrl.protocol !== 'https:' || parsedUrl.host !== 'example.com') {
      // Denies the permissions request
      return callback(false)
    }
  })

(五)Content-Security-Policy(CSP)

CSP是HTTP协议标头,限制允许渲染进程执行的脚本,是应对跨站脚本攻击和数据注入攻击的策略。

// 不推荐
Content-Security-Policy: '*'

// 推荐
Content-Security-Policy: script-src 'self' https://apis.example.com

main.js (Main Process)

const { session } = require('electron')

session.defaultSession.webRequest.onHeadersReceived((details, callback) => {
  callback({
    responseHeaders: {
      ...details.responseHeaders,
      'Content-Security-Policy': ['default-src \'none\'']
    }
  })
})

index.html (Renderer Process)

<meta http-equiv="Content-Security-Policy" content="default-src 'none'">

仅适用于HTTP协议

(六)Webview的allowpopups属性

index.html (Renderer Process)

<!-- 不推荐 -->
<webview allowpopups src="page.html"></webview>

<!-- 推荐 -->
<webview src="page.html"></webview>

(七)Webview标签选项

渲染进程通过标签创建的webview没有node继承,而从主进程创建的webview可以加成node。在 标签生效前,Electron将产生一个will-attach-webview事件到webContents中。 利用这个事件来阻止可能含有不安全选项的 webViews 创建。

main.js (Main Process)

app.on('web-contents-created', (event, contents) => {
  contents.on('will-attach-webview', (event, webPreferences, params) => {
    // Strip away preload scripts if unused or verify their location is legitimate
    delete webPreferences.preload

    // Disable Node.js integration
    webPreferences.nodeIntegration = false

    // Verify URL being loaded
    if (!params.src.startsWith('https://example.com/')) {
      event.preventDefault()
    }
  })
})

(八)禁用或限制网页跳转

该功能主要是防止跳转到指定页面后执行JS,从而存在跨站点攻击隐患,即便是关闭node集成开启上下文隔离的情况下,也不应该允许任意网页跳转。

如果您的应用不需要导航,您可以在 will-navigate 处理器中调用 event.preventDefault()。 如果您知道您的应用程序可能会导航到哪些界面,请在事件处理器中检查URL,并且仅当它与您预期的URL匹配时才进行导航。

main.js (Main Process)

const URL = require('url').URL

app.on('web-contents-created', (event, contents) => {
  contents.on('will-navigate', (event, navigationUrl) => {
    const parsedUrl = new URL(navigationUrl)

    if (parsedUrl.origin !== 'https://example.com') {
      event.preventDefault()
    }
  })
})

(九)禁止或限制新窗口创建

当打开新窗口时,注册事件来处理即将打开新窗口的URL,从而过滤掉不安全的url打开新窗口。

main.js (Main Process)

const { shell } = require('electron')

app.on('web-contents-created', (event, contents) => {
  contents.setWindowOpenHandler(({ url }) => {
    // 在此示例中我们要求操作系统
    // 在默认浏览器中打开此事件的 url。
    //
    // 关于哪些URL应该被允许通过shell.openExternal打开,
    // 请参照以下项目。
    if (isSafeForExternalOpen(url)) {
      setImmediate(() => {
        shell.openExternal(url)
      })
    }

    return { action: 'deny' }
  })
})

(十)shell.openExternal

shell.openExternal可以用来执行任意命令,不受信任的内容不要使用该API。

main.js (Main Process)

//  不好
const { shell } = require('electron')
shell.openExternal(USER_CONTROLLED_DATA_HERE)
//  好
const { shell } = require('electron')
shell.openExternal('https://example.com/index.html')

(十一)验证IPC消息发送者

任何窗口都可以向主进程发送消息,主进程回复渲染进程时,应该确定发送者身份。

main.js (Main Process)

// Bad
ipcMain.handle('get-secrets', () => {
  return getSecrets();
});

// Good
ipcMain.handle('get-secrets', (e) => {
  if (!validateSender(e.senderFrame)) return null;
  return getSecrets();
});

function validateSender(frame) {
  // Value the host of the URL using an actual URL parser and an allowlist
  if ((new URL(frame.url)).host === 'electronjs.org') return true;
  return false;
}
码力巨能编
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Electron】vue+electron如何实现进程间的通信
梅花寺
09-14 1472
本文主要介绍electron渲染进程和主进程间的通信,以及在渲染进程和主进程中常用的配置项。
electron-dynamic-preload:将参数传递给Electron加载脚本
04-28
电子动态紧 有时可以将参数传递给Electron加载脚本很方便 该模块使用Electron 2.xx中引入的 API,它不适用于较早的发行版! addPreloadWithParams(modulePath, exportName[, params, session]) 范围 类型 描述 默认 modulePath 细绳 要在加载加载的文件的路径 exportName 细绳 要执行的导出名称 参数 任何[] 传递给默认导出功能的参数 [] 会议 电子会话 将加载脚本添加到的会话 session.defaultSession 注意事项: 渲染器的所有params都是序列化的,因此不要期望通过JSON.parse(JSON.stringify(data))无法生存的任何东西。 电子加载脚本通过命令行参数传递给渲染器。 可以通过这种方式传递的数据量可能受到限制。 如果您
electronpreload.js文件的用法
最新发布
于坤
04-25 884
preload.js文件在Electron应用中起着桥梁的作用,使得在保持安全的同时,渲染进程可以访问主进程的功能。通过精心设计preload脚本,可以有效地加强应用的安全性,避免直接暴露过多的Node.js API给可能的前端攻击面。
Electron webview 内网页 与 preload、 渲染进程、主进程的常规通信 以及企业级开发终极简化通信方式汇总
王森的博客
10-17 2151
preload.js 就像插件的 content script 与网页的原生的环境还是隔离的,两个环境的变量互不影响,比如在 preload.js给 window 追加一个函数A,在原生网页中window.A 是 undefined,所以 preload.js 是沙盒环境。实际代码,其中__static就是我们存放静态文件的地方,这个 static 是 electron 源代码根目录下的文件,最终打完包后会放在 dist/electron/ 根目录下。
electron加载脚本
weixin_45799605的博客
01-02 677
electron加载脚本
electronpreload.js 是干嘛的
https://github.com/QAQDFAFD
03-14 848
是一个特殊的脚本文件,它在渲染进程(即 Electron 的网页页面)加载之前运行,并且在渲染进程的上下文中执行。方法,开发者可以将 Node.js 的模块或 Electron 的功能安全地暴露给渲染进程的页面。运行在一个特殊的上下文中,它与页面的普通 JavaScript 环境是隔离的。方法暴露给了渲染进程。可以作为模块化管理的入口,将一些通用的逻辑或工具函数加载到渲染进程中,以便在不同的页面或组件中复用。中,可以初始化一些全局的状态或功能,这些状态或功能可以在渲染进程中的任何页面或组件中使用
electron preload
DisMisPres的博客
09-17 1848
背景 最近手头的 electron 项目需要做一个报告导出的功能,导出时要弹出个页面,可让用户自行补全相应的字段。 由于公司已有现成的笔录工具,现直接将其集成进来,用 webview 直接展示其笔录页面,将已有的值传给笔录。 webview 简介 electron 的 webview 标签时基于 Chromium webview ,由于 Chromium 的架构变化巨大,会影响 electron webview 的稳定性,包括呈现、导航和事件路由。所以 electron 团队不建议使用 webview 标
electron学习-03preload 加载-主进程 和 渲染进程之间通信
weixin_46211267的博客
04-06 2080
加载功能学习
Electron那些事08:通过preload让渲染进程支持nodejs
uikoo9的专栏
03-23 5316
【前言】 标题有点长,本节想讲的是如何让渲染进程支持nodejs的能力, Electron那些事04:进程通信_uikoo9的博客-CSDN博客 04章节讲过一种方式,通过设置如下的属性 本节要讲的是另一种方式,供参考 【非preload的方式】 在复述一下04章节讲的方式 1.主进程中,打开一个window的时候,设置这些属性 webPreferences.nodeIntegration = true; webPreferences.co...
Electron入门学习_使用加载脚本
weixin_42883164的博客
07-19 528
Electron 加载脚本
preload:这是图片加载的jQuery插件
05-15
IntroductionPreload is a picture preloading jQuery plug-in.Application.js//= require jquery...//= require preloadConfigurationNameTypeDefaultDescriptionimgsArray[]加载的图片地址列表optionsObject{}...
PreLoad一个图像加载插件以实现有序加载和无序加载
08-11
通过合理运用 PreLoad 插件,开发者可以显著提升网页的加载效率,尤其是在有限的网络环境下,加载策略能有效减少用户等待时间,提高用户满意度。同时,对于图片资源的管理和控制也更加精细化,有助于优化整个项目...
electron-quick-start-master.zip
01-18
5. `preload.js`:加载脚本,允许在渲染进程中安全地使用Node.js API。 6. `package-lock.json`和`package.json`:记录项目的依赖关系和配置信息,`npm install`会根据`package.json`来安装依赖。 7. `LICENSE.md`...
electron爬虫:定制CSDN App
05-08
- preload.js: 加载脚本,用于安全地访问Electron API - main.js: 应用的主进程代码,负责启动和管理窗口 - package-lock.json 和 package.json: 项目依赖管理和配置 在实际项目中,开发者可能会根据需求实现...
Electron中最快速加载脚本
weixin_30279751的博客
07-09 799
背景 在Electron打开新窗口的时候,提前加载一段JavaScript脚本,以此内置一些属性或接口给被打开的页面。之所以要以注入方式,而不是页面自己引用,原因是不想麻烦页面自行引用,不想修改旧有的业务逻辑。 方法一 一开始是想在打开BrowserWindow后,执行executeJavaScript方法来给相应的窗口注入脚本。 不过这个方法虽然可以在相应的窗口注入脚本,但是它的执行的顺序太后...
electron webview iframe执行preload (nodeintegrationinsubframes)
joy1793的博客
04-15 2382
项目场景: electron 项目,webview页面 的 子iframe页面 加载 preload.js 解决方案: 在主线程 main.js 中 需要打开权限 nodeIntegrationInSubFrames: true 在页面标签中也需要打开权限 nodeintegrationinsubframes main.js async function createWindow() { // Create the browser window. const win = new Browser
深入理解Electron:主进程(Main Process)、渲染进程(Renderer Process)和加载脚本(Preload Script)的关系
CaliXz的博客
06-17 3009
本文深入探讨了 Electron 框架中的核心组件:主进程(Main Process)、渲染进程(Renderer Process)、加载脚本(Preload Script)和 HTML。每个组件的功能以及与其他组件的关系都得到了详细的阐述。通过对比传统的网页开发和PC软件开发,文章进一步解释了 Electron 提供的灵活性和功能。对于希望使用 Electron 构建复杂桌面应用程序的开发者来说,理解这些核心概念是至关重要的。
electron框架的webview标签使用以及preload设置
amuist_ting的博客
03-29 8606
使用webview标签是为了在主页面中嵌入其他web页面内容,类似小窗口 使用webview 1.主窗口对应的页面index.html 其中使用<webview>标签,src引入需要内嵌的web页面路径,可以是本地文件,也可以是远程请求,例如src=“https://www.douyin.com/”,引入抖音官网主页 然后通过<script>引入渲染脚本 2.主窗口主进程入口文件main.js 该文件中,创建主窗口,并在创建过程中 通过设置webPref.
Electron为网页注入js加载
fukami666的博客
03-24 6815
Electron为网页注入js加载准备工作main.jspreload.jspackage.json遇到的问题下一步的方向 准备工作 首先我下载了一个 electron-quick-start 并安装 node.js 找到一个网页,我选择的是一个快速制作插画的网站 Picrew main.js 在main.js里可以修改弹窗的各种属性,我们需要的是 function createWindow () { const mainWindow = new BrowserWindow({ webPref
使用electron加载窗口
03-12
我可以回答这个问题。使用 Electron加载窗口需要在主进程中创建一个 BrowserWindow 实例,并在其中加载加载脚本。加载脚本可以在渲染进程之前执行一些操作,例如注入一些全局变量或者在页面加载前执行一些脚本。可以通过设置 `webPreferences.preload` 属性来指定加载脚本的路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值