官方的解释是: 是否启用Node integration 官方在安全建议中是这样描述的 加载远程内容时,不论使用的是哪一种渲染器(BrowserWindow,BrowserView 或者 webview...预加载脚本?渲染页面中的 JS ?是否还包括那些嵌入的页面中的 JS ,他们都可以获取到这种能力吗?...contextIsolation: true sandbox: true 分别尝试在 预加载脚本、渲染进程、iframe 中进行测试 预加载脚本 成功 渲染进程 失败 iframe 失败 小结 在配置...: true contextIsolation: true sandbox: true 分别尝试在 预加载脚本、渲染进程、iframe 中进行测试 预加载脚本 成功 渲染进程 失败 iframe...sandbox: true预加载脚本还是可以加载并使用require('child_process') 这种模块 经过测试 iframe + window.open 的问题在 Electron 14.0.0
即上下文隔离 上下文隔离功能将确保您的 预加载脚本 和 Electron的内部逻辑运行在所加载的 webcontent网页之外的另一个独立的上下文环境里。...这意味着,实际上,您的预加载脚本访问的 window 对象并不是网站所能访问的对象。...例如,如果您在预加载脚本中设置 window.hello = 'wave' 并且启用了上下文隔离,当网站尝试访问window.hello对象时将返回 undefined。...为了在渲染器中直接包含 NPM 模块,您必须使用与在 web 开发时相同的打包工具 (例如 webpack 或 parcel) Preload 脚本 预加载(preload)脚本包含了那些执行于渲染器进程中...因为预加载脚本与浏览器共享同一个全局 Window 接口,并且可以访问 Node.js API,所以它通过在全局 window 中暴露任意 API 来增强渲染器,以便你的网页内容使用。
: true 时需要通过 contextBridge 进行对外暴露 我这边也测试了一下, contextIsolation: true 时,开启 nodeIntegrationInSubFrames 后...成功执行,经过测试,iframe 执行 Node.js 的条件与 iframe 一致 3) 测试预加载脚本 修改 object 服务器内容,获取并控制台输出预加载脚本暴露给渲染进程的值 设置 nodeIntegrationInSubFrames...: true 成功获取到预加载脚本暴露给渲染页面的内容 4) 小结 nodeIntegrationInSubFrames 对 object 的影响与 iframe 一致 4. embed 1) embed...nodeIntegrationInSubFrames: true 成功执行,经过测试,embed 执行 Node.js 的条件与 iframe 一致 3) 测试预加载脚本 修改 embed 服务器内容...,获取并控制台输出预加载脚本暴露给渲染进程的值 设置 nodeIntegrationInSubFrames: true 成功获取到预加载脚本暴露给渲染页面的内容 4) 小结 nodeIntegrationInSubFrames
如果nodeIntegration为true,那么web页面的JS代码可以通过调用require()方法使用Node.js功能。...这里,nodeIntegration为false,所以我也不能调用require()去使用Node.js功能。...如果contextIsolation为false,那么web页面中的JS可以影响Electron内部渲染时的JS代码和预加载脚本执行,(这里Electron内部渲染时的JS代码指Web页面之外的JS脚本...但是,由于目标应用不同的Electron版本使用或BrowserWindow选项设置,Discord这里Electron运行启动时,我实际测试的PoC总是不稳定,所以我把测试重点放在了预加载脚本上。...测试预加载脚本时,我发现Discord应用曝露了DiscordNative.nativeModules.requireModule(‘MODULE-NAME’)方法函数,该函数功能在于可以通过其把一些模块功能调用到
这时候,预加载脚本就可以派上用场了。预加载脚本在渲染进程加载之前加载,并有权访问两个渲染进程全局 (例如 window 和 document) 和 Node.js 环境。 3.6.1....预加载脚本 前面上手的时候已经讲过预加载脚本了,预加载(preload)脚本会在渲染进程网页内容开始加载之前执行,并且可以访问 Node.js API。...由于预加载脚本与渲染器共享同一个全局 Window 接口,因此它通过在 window 全局中暴露任意您的网络内容可以随后使用的 API 来增强渲染器。...不过我们不能在预加载脚本中直接给 window 挂载变量,因为 contextIsolation 是默认的。...预加载脚本暴露接口 在预加载脚本中,可以暴露一些全局的接口给到渲染进程,然后渲染进程调用,从而达到通信的目的。这种方式类似于微信 SDK,不用侵入到前端脚本去监听事件,较为安全。
但是如果此时 contextIsolation 被设置为了 false,也就是关闭了上下文隔离,那么渲染页面就可以访问到 Preload 的上下文,获取到 Preload 脚本中的 window.require...可以看到,此时 iframe 还是可以获取到渲染页面的上下文,但是无法获取到 Preload 脚本的上下文了 5....: true contextIsolation: false sandbox 没有显式地设置为 true 如果 iframe 的地址与渲染页面的地址不同源,则在以下安全配置时,iframe内才可以执行...,需要满足以下条件 nodeIntegration: true contextIsolation: false sandbox 没有显式地设置为 true 不同源的情况下,进行测试 执行失败,换成 window.parent.require.../app.asar/test.js"> 预加载脚本 6) httpreferrer <webview src="https://www.github.com/" httpreferrer
为了在渲染器中直接包含NPM模块,你必须使用你在web上使用的相同的捆绑工具链(例如,webpack或parcel等)。 ✧ 预加载脚本 预加载脚本包含在web内容开始加载之前在渲染进程中执行的代码。...因为预加载脚本与渲染器共享一个全局的window对象,并且可以访问Node.js api,它通过在Window global中公开任意api来增强你的渲染器,你的web内容可以使用这些api。...但这里要注意,尽管预加载脚本与它们所连接的渲染器共享一个全局窗口,但由于contextIsolation默认值使上下文隔离的缘故,你不能直接将任何变量从预加载脚本连接到窗口。...这对于安全目的来说很重要,因为它有助于防止网站访问Electron内部组件或您的预加载脚本可以访问的强大api。这意味着你的预加载脚本访问的窗口对象实际上是一个不同于网站访问的对象。...如下面这个例子: 我们现在preload.js里面编写自己的接口: window.myAPI = { desktop: true } 然后再创建一个叫index.js的脚本,编写代码获取preload.js
,它属于是渲染进程的一部分,但沙盒化后仍然可以使用部分 Node.js 的 API ,毕竟它要负责渲染器进程和主进程之间的通信, Electron 官方给 Preload 脚本提供了一个 require...方法,这个方法名字和 Node.js 中的 require 一样,但提供形式是 Polyfilled ,也就是说 Electron 自己定制实现并提供的,具体可以使用哪些 API 可以参照之前预加载脚本那篇文章...脚本中打开 Music 程序,执行测试 成功打开 Music,在渲染页面的 renderer.js 中通过 Node.js 打开相册,设置 contextIsolation: false 测试 成功执行...时,sandbox 对于 Node.js 的保护效果就会失效 在之前 nodeIntegration 文章中,我们测试过程中对于 sandbox 默认值只测试了预加载脚本的 Node.js 能力和显式设置...sandbox: true/false 时 Node.js 的表现,并没有对不设置 sandbox ,使用其默认值测试 nodeIntegration配置项,因此得出了在 Electron 20.0
前言 在Electron12时候被废弃,使用必须配置enableRemoteModule const win = new BrowserWindow({ width: 1200, height...enableRemoteModule: true, nodeIntegration: true, contextIsolation: false, }, }); 在Electron14...有如下几种解决方法: 使用@electron/remote模块替代 使用IPC传递数据 使用@electron/remote模块替代 安装 npm install --save @electron/remote...,//允许渲染进程使用nodejs contextIsolation:false//允许渲染进程使用nodejs } }) mainWindow.loadFile...rtmpWindow.webContents.openDevTools() rtmpWindow.webContents.on('did-finish-load', () => { //下面的这行代码要在上面的BrowserWindow加载完成之后调用
因此,在使用nodeIntegration时需要谨慎处理,并遵循安全最佳实践。 禁用contextIsolation也会增加应用程序的潜在安全风险。... // 我们可以在渲染进程中直接使用NodeJS的API const fs = require('fs'); console.log...remote 模块,渲染进程可以通过调用主进程的模块和函数来获取主进程提供的功能,它不仅仅是在渲染进程中可以使用NodeJS API 那么简单,通过它还可以使用在主进程中才能使用的模块。...注意:在 中electron >= 14.0.0,您必须使用新的enableAPI 为每个需要的WebContents单独启用远程模块:require("@electron/remote/main")....您必须传递enableRemoteModule配置项: { webPreferences: { enableRemoteModule: true } } 使用@electron/remote会使沙箱的效率大大降低
预加载脚本 主进程可以与操作系统交互,渲染进程只能渲染网页,那么当功能需要操作系统支持的时候,渲染进程如何将需求传递给主进程,主进程如何将结果传递给渲染进程就是个问题,Electron 设计了一系列的...,这里就包括 Preload 脚本,也就是预加载脚本,所以此时如果预加载脚本中的方法任意组合,修改参数之类的操作后可以让主进程执行 Nodejs 代码,就可以实现 RCE CVE-2020-15215...时,预加载脚本会在每个子 frame 中加载,虽然预加载脚本具备一定的 Nodejs 的能力,但是被限制的很严重,所以大家对这个属性的命名感觉很费解,还产生了一定的讨论 https://github.com...; 后来直接 RCE 变得困难,大家开始将目标转向预加载脚本 (Preload) ,对应的特性就是 contextIsolation,通过导航等各种方法绕过原本的上下文隔离,获取到修改 Javascript...预加载脚本检查主要是看两点 是否存在危险方法 加载任意 Nodejs 模块等 是否存在过度暴露 例如将渲染进程用来 IPC 通信的对象直接暴露给渲染进程 预加载脚本文件检查过程中要与主进程关联着看,IPC
,对于之前篇章中已经测试并解释清楚的部分,不会再次详细解释 预加载脚本 (Preload) 是一个比较让我意外的内容,可能因为学习 Electron 时就使用了官网推荐的安全开发案例,所以一直以为预加载脚本的...Node.js 就是被限制过的,但是随着最近的几篇文章的实验发现并不是 在 sandbox 没有被设置为 true 时(Electron 20.0 版本开始默认值为 true) ,预加载脚本是拥有完整...,完成主进程与渲染进程之间的通信,将通信结果传递给另一方才是它实际的意义,通过暴露方法使这种固定的逻辑可以被渲染进程调用 因此预加载脚本在渲染器加载网页之前注入,也就是说预加载脚本中的内容会先一步定义好...events https://nodejs.org/api/events.html 这个模块是 Node.js 中关于事件处理的模块,是发布、订阅模式的实现,这里允许预加载脚本使用应该是为了让预加载脚本具备事件处理相关的能力...,从预加载脚本的职责来看,也确实可能用的到 使用案例如下 const { EventEmitter } = require('events'); class MyEmiter extends EventEmitter
另外,窗口的所有配置都使用了默认的配置。 这个窗口加载了一个 Url 路径,这个路径是以命令行参数的方式传递给应用程序的,而且是命令行的第三个参数。...webSecurity: false, allowRunningInsecureContent: true, contextIsolation: false, webviewTag...如果渲染进程的代码可以访问 Node.js 的内置模块,而且渲染进程加载的页面(或脚本)是第三方开发的,那么恶意第三方就有可能使用 Node.js 的内置模块伤害最终用户 。...如果你的应用不会加载任何第三方的页面或脚本。那么就不用担心这些安全问题啦。...而且 vite-plugin-optimizer 插件不仅用于开发环境,编译 Vue 项目时,它也会参与工作 。 再次运行你的应用,看看现在渲染进程是否可以正确加载内置模块了呢?
模块时如不带 enableRemoteModle: true,会发出弃用警告。...#22336 这是一项持续性工作,针对未来的一个需求,即渲染器进程中加载的原生 Node 模块应为 N-API 或 Context Aware 之一。...时间表中列出了 Electron 10.0 开发周期中的关键时点: https://electronjs.org/docs/tutorial/electron-timelines 另请参阅我们的版本控制文档,获取有关...的默认值从 false 更改为 true(从 Electron 10 开始) 如果没有 contextIsolation,在渲染器进程中运行的任何代码都可以很容易地进入 Electron 内部或应用的预加载脚本中...Electron 将在 Electron 10.0 中弃用 contextIsolation 当前的默认值,并在 Electron 12.0 中更改为新的默认值(true)。
这里我总结了一下使用 Electron 时可能遇到的各种问题,涉及【安装】 > 【开发】 > 【发布】的全过程,希望能够帮助到大家。...例如: Uncaught ReferenceError: require is not defined 问题分析 Electron 从 5.0 开始, nodeIntegration 配置项的默认值由...true 改为了 false ,导致默认情况下不支持 node 模块,比如 require、path等常用模块。...所以,我们构建不同平台的代码时,也需要告诉程序:到不同的目录中去加载文件。...: 800, minHeight: 600, webPreferences: { nodeIntegration: true, contextIsolation:
当您异步获取数据时,组件将在加载数据之前至少呈现一次 - 无论是在构造函数,componentWillMount还是componentDidMount中获取它。...要验证它们不相等,请尝试使用严格相等运算符: 在现实世界的示例中,这种错误的一种方式是,如果在加载元素之前尝试在JavaScript中使用DOM元素。...因此,如果DOM元素之前有标记,则脚本标记中的JS代码将在浏览器解析HTML页面时执行。 如果在加载脚本之前尚未创建DOM元素,则会出现此错误。...Uncaught TypeError: Cannot set property 当我们尝试访问未定义的变量时,它总是返回undefined,我们无法获取或设置undefined的任何属性。...ReferenceError: event is not defined 当您尝试访问未定义或超出当前范围的变量时,将引发此错误。 您可以在Chrome浏览器中轻松测试它。
https://registry.npmmirror.com electron-mirror=https://registry.npmmirror.com/mirrors/electron/ 热更新/热加载...const { app, BrowserWindow, Tray, Menu } = require("electron"); const path = require("path"); const...应用运行时的标题栏图标 webPreferences: { backgroundThrottling: false, //设置应用在后台正常运行 nodeIntegration: true..., //设置能在页面使用nodejs的API contextIsolation: false, preload: path.join(__dirname, "....mainWindow.on("closed", () => { mainWindow = null; }); mainWindow.close(); 访问后页面注入脚本
二是当通过异步的方式获取数据时,无论是在构造函数中 componentWillMount 中,还是在构造函数中提取 componentDidMount,组件在数据加载之前至少会渲染一次。...因此,如果在 DOM 元素之前存在标签,则脚本标签内的 JS 代码就会在浏览器分析 HTML 页面时执行。如果在加载脚本之前尚未创建 DOM 元素,就会出现这样的错误。...这是浏览器的一种安全措施,主要用于防止跨域传递数据的情况出现。 要获取真实的错误消息,需要执行以下操作: 1. ...Uncaught TypeError: Cannot Set Property 当尝试访问未定义的变量时,总会返回 undefined。我们也无法获取或设置 undefined 的任何属性。...ReferenceError: Event Is Not Defined 尝试访问未定义的变量或当前范围之外的变量时会引发此错误。 ?
= eval; // 等价于在全局作用域调用 console.log(geval('x + y')); // 间接调用,使用全局作用域,throws ReferenceError 因为`x`未定义...运行 (function(){}).constructor === Function // true 便可以得到这个结论。...,throws ReferenceError } Nodejs 动态执行脚本 通过 node 的核心模块 vm 来实现。...运行中的代码无法获取本地作用域。...运行中的代码无法获取本地作用域,但可以获取当前的 global 对象。
二是当通过异步的方式获取数据时,无论是在构造函数中 componentWillMount 中,还是在构造函数中提取 componentDidMount,组件在数据加载之前至少会渲染一次。...这是在 Safari 中读取属性或调用未定义对象上的方法时发生的错误,这与 Chrome 的上述错误基本相同,只是 Safari 使用不同的错误消息。...因此,如果在 DOM 元素之前存在标签,则脚本标签内的 JS 代码就会在浏览器分析 HTML 页面时执行。如果在加载脚本之前尚未创建 DOM 元素,就会出现这样的错误。...这是浏览器的一种安全措施,主要用于防止跨域传递数据的情况出现。 要获取真实的错误消息,需要执行以下操作: 1....ReferenceError: Event Is Not Defined 尝试访问未定义的变量或当前范围之外的变量时会引发此错误。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
