Electron 安全性-编程实验室

Electron 中的安全性

Electron 应用结合了 Chromium 和 Node.js，提供了强大功能，但也引入了独特的安全风险：渲染进程中的 XSS 等 Web 漏洞可能升级为远程代码执行（RCE），因为渲染进程可能访问 Node.js 和系统资源。Electron 的安全性依赖于框架本身、依赖库和你的代码实现。官方文档强调，开发者需主动遵循最佳实践。

1.核心安全风险

XSS 升级为 RCE：如果启用 Node.js 集成，恶意脚本可访问文件系统或执行命令。
原型污染（Prototype Pollution）：渲染进程修改全局对象（如Array.prototype），影响 preload 脚本。
远程内容加载：加载不安全 URL 可能导致混合内容、CORS 绕过或权限滥用。
IPC 滥用：渲染进程伪造消息访问主进程功能。
依赖与框架漏洞：过时 Electron/Chromium/Node.js 暴露已知 CVE。
其他：禁用 Web 安全、实验特性、未沙盒进程等。

2.官方推荐最佳实践

基于最新 Electron 文档（截至 2025 年），以下是关键配置和实践（许多已为默认值）：

推荐实践	描述与理由	默认状态（最新版本）	配置示例（BrowserWindow webPreferences）
启用上下文隔离	防止渲染进程修改 preload/global 对象，防御原型污染。	默认启用（v12+）	`contextIsolation: true`
禁用 Node.js 集成（远程内容）	防止远程内容访问 Node.js，阻断 XSS → RCE。	默认禁用（v5+）	`nodeIntegration: false`
启用进程沙盒	使用 Chromium 沙盒限制渲染进程系统访问。	默认启用（v20+）	`sandbox: true`
不禁用 webSecurity	保持同源策略、禁用不安全内容。	默认启用	`webSecurity: true`
定义 Content Security Policy (CSP)	限制脚本/资源来源，防御 XSS。	无默认	通过 HTTP header 或`<meta>`设置，如`script-src 'self'`
仅加载安全内容	使用 HTTPS/WSS 等，避免明文传输。	-	检查`src`URL
处理权限请求	手动审核远程内容的权限（如通知、地理位置）。	自动批准	`session.setPermissionRequestHandler()`
限制导航与新窗口	防止跳转到恶意 URL 或弹出窗口。	-	`will-navigate`和`setWindowOpenHandler`
验证 IPC 发送者	防止伪造消息。	-	检查`event.senderFrame`
使用 preload 安全暴露 API	通过`contextBridge`暴露最小接口，避免直接传`ipcRenderer`。	-	`contextBridge.exposeInMainWorld()`
保持 Electron 更新	获取最新 Chromium/Node.js 补丁。	-	定期升级版本

preload 脚本示例（安全暴露）：

// preload.jsconst{contextBridge,ipcRenderer}=require('electron');contextBridge.exposeInMainWorld('electronAPI',{send:(channel,data)=>{if(['valid-channel'].includes(channel)){ipcRenderer.send(channel,data);}}});