个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
在 Electron 的 docs它允许我们启用或禁用nodeIntegration(默认情况下禁用)。禁用后,它会禁用整个应用程序使用 Node.js 功能还是仅禁用某个进程(主进程、渲染器进程和自定义模块)?
我听说使用nodeIntegration时存在安全问题。它们是什么?
我的应用程序可能只会被我自己用作个人用途。它将包括一个 localhost 服务器、一个自定义 API、一个通过我的自定义 API 访问并利用外部 API 的远程 MongoDB 数据库。如果 Node.js 被禁用,我将如何开发这个应用程序?
最佳答案
只有渲染器进程会受到影响。主进程将始终可以访问node.js api。
将 Node.js api 暴露到渲染器进程中会暴露本地系统的安全问题 - 这意味着渲染器进程中的任何 XSS 都可以具有系统访问权限(例如 fs 或 child_process)。通常渲染器进程是沙盒的,因此 XSS 仅限于其范围。
即使禁用 Node 集成后,preload 脚本也可以始终访问 Node.js。预加载脚本可用于准备渲染器进程的接口(interface),仅公开所需的访问/限制、验证输入攻击。
关于javascript - 在 Electron 中禁用 nodeIntegration 有哪些限制?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57172564/
25
4
0
首先,我创建了一个标签,并使用electron-packager构建了我的应用程序: node_modules/.bin/electron-packager . MyApp --platform=wi
我正在寻找一种基于 Electron 加载页面中提供的信息来更新MAC应用程序的徽章值的方法。 我在启动时使用main.js文件中的以下代码加载页面。 function createWindow ()
我正在使用 Electron 构建一个应用程序,并使用 Electron Builder 进行打包。当运行 Electron 时,我想通过这个command line argument: --enab
我遇到一种情况,当用户安装我的 Electron 应用程序时,我实际上需要安装2个应用程序:我的应用程序+一个单独的Windows MSI,它将作为我的应用程序工件的一部分包含在内。 我是Electr
使用 Electron 生成器构建 Electron 应用程序后,我无法从dist文件夹中打开该应用程序。我确实更改了所有链接以使用path.join(__ dirname,“relative_pat
我使用Linux,并正在制作要在Windows,Mac和Linux上分发的Electron App。我想要的是我的应用程序可以自我更新-但这需要代码签名。 这是否意味着我需要同时购买Windows和M
我在 Electron 应用主程序中使用foreverjs,如下所示: const forever = require("forever-monitor"); let child = forever.
在我在 Windows 10 上运行的 electron-forge 应用程序中,没有呈现 ejs 模板,尽管没有可见错误。 我可以使用创建的应用程序重现该问题 electron-forge init
我有一个 Electron 应用程序,该应用程序可以完美运行到开发环境中,并且日志引擎可以写入文件(使用winston.js)。 该项目的结构是这样的: 当我运行 Electron 构建器来打包我的应
Electron 应用程序是使用 electron-forge webpack 模板初始化的,一切都适用于 macOS。 使用 运行开发版本时 Electron 锻造开始该应用程序在 Windows
我正在尝试将我的 Electron 应用发布到GitHub版本,但无法正常工作。 这就是我所拥有的:package.json .... "scripts": { "start": "elect
我现在使用electron-builder并设法达到事件监听器的设置和触发点,但是我认为我没有完全正确设置它,因为当我使用electron .打开应用程序时,出现以下错误: Checking for
我想要的不是排除未使用的文件,而是将使用过的文件包排除到.exe文件中 我提供了一个像 config.json 这样的文件供用户编辑一些自定义配置,然后应用程序可以读取该文件来做一些事情。所以我不希望
我想了解 Signal Desktop 或 Visual Studio Code 等 Electron 桌面应用程序正在使用哪个版本的 Electron。有没有简单的方法——比如在开发控制台中输入命令
我有一个Electron我想在其中引入并行发布 channel 的应用程序:stable、next(用于早期采用者)和dev(用于测试最新版本)。 这些都会有一个分支,新功能首先出现在 dev 中,然
我是 Electron 新手,我想在主窗口中运行非 Electron 可执行文件。可以这样做吗? 这是我的代码: mainWindow = new BrowserWindow({width: 860,
我开始使用 GitHub 按需培训学习 Electron。当我执行以下命令时。系统抛出错误。 electron % electron-forge init electron-app ⚠ Could n
在我的 Electron 应用程序中,我使用“electron-json-storage”模块在本地存储一些设置数据。 但是,为了访问这些数据,我必须先找到本地路径。 为此,我正在使用 app.get
最近开始接触 Electron 。任何人都可以帮助我选择数据库。似乎没有直接的选择。 建议中型项目的数据库。 最佳答案 在 Electron 应用程序中,您可以使用您选择的数据库: https://g
我是Electron的新手,无法找到应用程序菜单的工作示例。 尝试将Quick Start应用程序与Electron文档的Class: Menu页面中的示例结合使用时,似乎什么都没发生-更改label
我是一名优秀的程序员,十分优秀!