Electron-Node安全性问题之一

最新推荐文章于 2025-05-06 09:22:56 发布
转载 最新推荐文章于 2025-05-06 09:22:56 发布 · 598 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/mdorg/p/10576941.html
文章标签:

#数据库 #javascript #ViewUI

探讨了在Electron应用中禁用Node.js集成以增强安全性,预防XSS升级为RCE攻击的方法。通过预加载脚本来暴露API,实现Node.js特性的安全使用,并以新零售业务场景为例,展示了如何安全地利用serialport模块。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上次开会项目开会提到了使用electron安全性的问题:

是否要禁用Node.js集成?是目前所要考虑的问题。

跨站脚本(XSS)攻击很常见,攻击者跳过渲染进程并在用户电脑上执行恶意代码,危害是非常大的。禁用Node.js集成有助于防止XSS攻击升级为“远程代码执行”(RCE)攻击。

怎么解决Node.js集成的问题?

当禁用Node.js集成时,你可以暴露API给你的站点,以使用Node.js的模块功能或特性。预加载脚本依然可以使用require等Node.js特性,以使开发者可以暴露自定义API给远程加载内容。

const mainWindow = new BrowserWindow({
  webPreferences: {   //网页功能的设置
    nodeIntegration: false, //是否完整的支持 node. 默认值为true
    nodeIntegrationInWorker: false,// 是否在Web工作器中启用了Node集成
    preload: './preload.js' //在页面运行其他脚本之前预先加载指定的脚本 无论页面是否集成Node, 此脚本都可以访问所有Node API 脚本路径为文件的绝对路径
  }
})

 

下面结合新零售业务,对于node – serialport怎么处理的?

Electron主进程:
mainWindow = new BrowserWindow({
    width: 800, 
    height: 600,
    webPreferences: {
        nodeIntegration: false,
     nodeIntegrationInWorker: false
        preload: path.join(__dirname, 'preload.js')
    }
})

暴露API给站点(preload.js):
const serialport = require('serialport');
let nav = {	
	serialport:serialport
}
global.nav = nav;

站点(web业务)要使用的:
     const contr = document.getElementById('port')
	const serialport = window.nav.serialport;
	if(!serialport) return;
        serialport.list((err, ports) => {
             for (let item of ports) {
		     var div = document.createElement('div')
		     div.innerHTML = item.comName
                     contr.appendChild(div)
             }
             console.log(ports);
       }); 

  

在项目中遇到的具体问题就是如此,这里做下项目总结。后续会持续记录。

转载于:https://www.cnblogs.com/mdorg/p/10576941.html

angong5692
关注
04.electron-(使用remove模块及安全策略)
做技术,坚持才是最重要的,一时的热情只是暂时的进步
04-04 306
Electron 主进程和渲染进程中的模块 remote模块 主要作用:提供了一种在渲染进程(网页)和主进程之间进行进程间通讯(IPC)的简便途径 例子:在渲染进程(index.html)中创建新的窗口 注意: Electron10.x 之前可以直接使用 remote 模块 Electron10.x 以后 Electron14.x 以前要使用 remote 模块的话必须得在 BrowserWindow 中通过 enableRemoteModule: true 开启 Electron14.x 以后官方把内
第9章:Electron安全性
一名全栈开发工程师
07-05 920
在开发Electron应用时,安全性是一个非常重要的考虑因素。由于Electron应用可以访问Node.js的全部API,以及使用Web技术开发界面,因此需要特别注意安全问题。本章将介绍如何提高Electron应用的安全性,包括禁用不必要的功能、设置内容安全策略(CSP)等。
Electron安全防护实战:应对常见安全问题及权限控制措施
与墨的编程成长历程
03-31 2342
构建安全的 Electron 应用是一项系统工程,涉及权限管理、内容安全、更新流程、硬件权限控制、第三方模块选择、数据加密、进程间通信安全、敏感信息保护以及应用启动自检等多个层面。通过深入理解并积极应对上述常见安全问题,结合文中提供的实战代码示例和最佳实践,开发者能够有效地提升 Electron 应用的安全性,为用户打造一个既功能丰富又安全可靠的桌面应用环境。持续关注安全动态:及时了解并应对新的安全威胁和漏洞,定期更新依赖,运用安全工具进行项目审计。实施纵深防御。
Electron 安全指南:防止远程代码执行与提升应用安全性
最新发布
2501_91537388的博客
05-06 1124
Electron 提供了强大的能力,但也需要开发者承担更多的安全责任。禁用不必要的 API(如 nodeIntegration)使用 contextIsolation + preload 限制权限暴露避免加载远程内容校验 IPC 通信与外部输入。
Node 后台之安全性
weixin_30416497的博客
11-29 347
1、https var https = require('https'); var fs = require('fs'); var options = { key: fs.readFileSync('./keys/214348170300525.key'), cert: fs.readFileSync('./keys/214348170300525.pem') ...
关于Electron框架应用的安全测试
xuhss_com的博客
04-13 1086
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 Electron框架应用的安全测试 0.Electron相关简介 electron.js是一个运行时框架,它在设计之初就结合了当今最好的Web技术,核心是使用HTML、CSS、JavaScript构建跨
electron中的内容安全策略(CSP)
whq343621668的博客
01-13 2063
XSS攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。CSP通过指定有效域—即浏览器认可的可执行脚本的有效来源一使服务器管理者有能力减少或消除XSS攻击所依赖的载体。一个CSP兼容的浏览器将会仅执行从白名单域获取到的脚本文件,忽略所有的其他脚本(包括内联脚本和HTML的事件处理属性)。
electron-mips-v6.1.7
08-29
4. **chrome-sandbox**:Chrome沙箱程序,用于提高安全性,将Chromium的各个组件隔离运行,防止恶意代码影响整个系统。 5. **icudtl.dat**:International Components for Unicode (ICU) 数据文件,提供Unicode转换...
electron-egg桌面软件开发框架 v3.10.0.zip
03-21
2. 更新依赖:升级了ElectronNode.js的版本,确保兼容性和安全性。 3. 配置增强:新增和改进了一些配置选项,如热更新、日志管理等,使开发者能够更灵活地定制化应用。 4. 错误处理:改进了错误处理机制,提供了更...
electron 使用 electron-builder 打包所需工具 winCodeSign-2.6.0.zip
12-25
在 Windows 系统中,为了确保应用的安全性和可靠性,开发者通常会对生成的 `.exe` 文件进行数字签名。这一步骤涉及到 `winCodeSign` 工具。`winCodeSign` 是 `electron-builder` 集成的一部分,用于为 Windows 可...
Node.js-electron-simple-updater自动更新electron应用
08-10
综上所述,`electron-simple-updater` 是 Node.js 和 Electron 开发中的一个实用工具,它为桌面应用提供了便捷的自动更新机制,使得开发者能够轻松管理应用版本,同时保证用户始终能获得最新的功能和安全修复。
electron-v13.1.7-全平台.7z
08-07
Electron将Google的Chromium浏览器引擎和Node.js运行环境结合在一起,使得开发者可以利用Web前端的开发经验,同时享受到Node.js的服务器端能力。这样,开发者可以在同一个环境中处理用户界面和后台逻辑,大大简化了...
第六节 Electron安全策略
08-19 1226
Content Security Policy 简称 CSP 是一种网页安全政策CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。通俗的讲开启 CSP 后可以让浏览器自动禁止外部注入恶意脚本,增加网站的安全性能。
使用electron开发桌面级应用的注意事项
lindesixu的博客
02-21 661
打包和分发:使用适当的打包工具(如 electron-builder、electron-packager)将应用程序打包为可执行文件,并选择合适的分发方式(如安装程序、压缩包、应用商店等)。要确保应用程序在不同的操作系统上具有一致的外观和行为,并进行相应的测试。错误处理:在应用程序中实现良好的错误处理机制,以便捕获和处理潜在的错误和异常情况,并向用户提供有用的错误信息。测试:进行全面的测试,包括单元测试、集成测试和端到端测试,以确保应用程序的稳定性和功能完整性。
Electron使用preload预加载及安全策略
热门推荐
qq_30386941的博客
10-27 1万+
使用 Electron 很重要的一点是要理解 Electron 不是一个 Web 浏览器。它允许您使用熟悉的 Web 技术构建功能丰富的桌面应用程序,但是您的代码具有更强大的功能。JavaScript 可以访问文件系统,用户 shell 等。这允许您构建更高质量的本机应用程序,但是内在的安全风险会随着授予您的代码的额外权力而增加。
Electron学习笔记(一) 配置, 创建, 设置, 监听
小松鼠举栗子
04-15 2556
一.配置环境 //国内设置淘宝npm的mirror,否则可能因为无法获取资源而失败 npm config set ELECTRON_MIRROR http://npm.taobao.org/mirrors/electron/ // windows上如果要安装x86这里就设置ia32, 否则默认x64 npm i electron@9.1.2 --arch=ia32 --save-dev 二.创建工程: // 安装脚手架 npm install create-electron-app -g ...
electron设置nodeIntegration 无效
qq_44732555的博客
07-06 3609
当你设置nodeIntegration 为true不起作用的时候可以将contextIsolation改为false //main.js webPreferences: { nodeIntegration: true, // 是否集成 Nodejs contextIsolation: false } //index.html中 <script> window.electron = require("electron"); </script>`
Electron开发过程中遇到的问题集合
silence_li的博客
07-15 1484
Electron开发过程中遇到的问题集合1. 平台私有自签发证书不安全的问题2. Electron渲染进程,出现‘require is not defined’的问题3. Electron启动出现短暂的白屏4. Electron 如何禁用本地缓存5. electron程序,如何实现自适应外观模式的彩色托盘图标?6. electron-vue启动时报错:Electron-vue ReferenceError: process is not defined 1. 平台私有自签发证书不安全的问题 在Electro
Electron node integration enabled 设置
Pegasus的软件博客
11-20 9572
Electron node integration enabled 设置 Electron调试Console报告如下内容时 Electron Deprecation Warning (nodeIntegration default change) This window has node integration enabled by default. In Electron 5.0.0, node...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值