@electron 包将需要 Node.js 22 LTS。 在我们的博客上阅读更多信息。
一个远程代码执行漏洞,“Magellan”,已被发现影响基于 SQLite 或 Chromium 的软件,包括所有版本的 Electron。
使用 Web SQL 的 Electron 应用程序受到影响。
受影响的应用应停止使用 Web SQL 或升级到 Electron 的已修补版本。
我们已发布新版本的 Electron,其中包含此漏洞的修复程序
目前没有关于在野外利用此漏洞的报告;但是,敦促受影响的应用程序采取缓解措施。
此漏洞由腾讯 Blade 团队发现,他们发布了一篇博客文章,讨论了该漏洞。
要了解有关保持 Electron 应用安全的最佳实践的更多信息,请参阅我们的安全教程。
如果您希望报告 Electron 中的漏洞,请发送电子邮件至security@electronjs.org。
Electron 正在努力使其发布周期更快更稳定。为了实现这一目标,我们启动了大型 Electron 应用的应用程序反馈计划,以测试我们的 beta 版本并向我们报告特定于应用程序的问题。这有助于我们优先处理将应用程序更快升级到我们的下一个稳定版本的工作。
编辑 (2020-05-21):此计划已退役。
我们对加入此计划的应用程序的标准和期望包括以下项目
我们理解并非每个人都可以分享确切的用户数量,但是更好的数据有助于我们决定特定版本的稳定性。我们要求应用程序承诺测试最少的用户小时数,目前在 beta 测试周期中为 10,000 小时。
您应用程序的错误将被跟踪,并会进入核心 Electron 团队的雷达。您的反馈帮助 Electron 团队了解新的 beta 版本的运行情况以及需要完成的工作。
不,您的应用程序信息不会与公众分享。信息保存在私有 GitHub 存储库中,该存储库仅对应用程序反馈计划和Electron 治理的成员可见。所有成员都已同意遵守 Electron 的行为准则。
我们目前正在接受有限数量的注册。如果您有兴趣并且能够满足上述要求,请填写此表格。
Electron 团队很高兴地宣布,Electron 3 的第一个稳定版本现已从electronjs.org和通过 npm install electron@latest 提供!它充满了升级、修复和新功能,我们迫不及待想看看您用它们构建什么。以下是有关此版本的详细信息,我们欢迎您在探索时提供反馈。
在我们进行 v3.0.0 的开发时,我们试图通过正式化渐进式 beta 版本的反馈进度,更经验地定义稳定版本的标准。如果没有我们的应用程序反馈计划合作伙伴在 beta 测试周期期间提供的早期测试和反馈,v3.0.0 将不可能实现。感谢 Atlassian、Atom、Microsoft Teams、Oculus、OpenFin、Slack、Symphony、VS Code 和其他计划成员的工作。如果您想参与未来的 beta 测试,请发送邮件至info@electronjs.org。
Electron 工具链的几个重要部分进行了重大升级,包括 Chrome v66.0.3359.181、Node v10.2.0 和 V8 v6.6.346.23.
app.isPackagedapp.whenReady()process.getHeapStatistics()win.moveTop() 将窗口 z 顺序移动到顶部webviewfs.readSync 现在可以处理大型文件fs 包装器,使 fs.realpathSync.native 和 fs.realpath.native 可用did-get-response-details 和 did-get-redirect-request 事件v4.x 或更高版本才能使用 electron npm 模块NativeWindowmenu.popup()ipcRenderer.sendSync 的结果api::Window 重命名为 api::BrowserWindowmedia-play_pause 重命名为 media-play-pausetray.setIgnoreDoubleClickEvents(ignore) 忽略托盘双击事件。请注意: 在运行此版本后切换到旧版本的 Electron 将需要您清除用户数据目录,以避免旧版本崩溃。您可以通过运行 console.log(app.getPath("userData")) 获取用户数据目录,或查看文档以获取更多详细信息。
fs.statSyncNoException 抛出异常的问题net::ClientSocketHandle 析构函数中的崩溃<input file="type"> 打开文件对话框中选择捆绑包的问题enable_run_as_node==false 时的 Mac 构建app.removeAsDefaultProtocolClient 后将 mac 协议设置为 nonetray.setContextMenu 崩溃defaultId,在对话框上按 Esc 键现在也会关闭它BrowserWindow.focus()TextField 和 Button API 是实验性的,因此默认情况下处于关闭状态
enable_view_api 构建标志启用它们Electron 团队继续致力于定义我们的流程,以实现更快速和更平稳的升级,因为我们寻求最终与 Chromium、Node 和 V8 的开发节奏保持一致。
Electron 现在使用 GN 构建自身。以下是关于原因的讨论。
当 Electron 于 2013 年首次发布时,Chromium 的构建配置是使用GYP编写的,GYP 是 "Generate Your Projects" 的缩写。
2014 年,Chromium 项目引入了一个名为GN的新构建配置工具(GN 是 "Generate Ninja" 的缩写)。Chromium 的构建文件已迁移到 GN,GYP 已从源代码中删除。
Electron 历史上一直保持着主Electron 代码和libchromiumcontent之间的分离,libchromiumcontent 是 Electron 包装 Chromium 'content' 子模块的部分。Electron 一直使用 GYP,而 libchromiumcontent - 作为 Chromium 的子集 - 在 Chromium 这样做时切换到了 GN。
就像不太啮合的齿轮一样,使用两个构建系统之间存在摩擦。维护兼容性容易出错,编译器标志和 #defines 需要在 Chromium、Node、V8 和 Electron 之间进行细致的同步。
为了解决这个问题,Electron 团队一直在努力将所有内容迁移到 GN。今天,从 Electron 中删除最后一个 GYP 代码的提交已在 master 中落地。
如果您正在为 Electron 本身做出贡献,那么从 master 或 4.0.0 中检出和构建 Electron 的过程与 3.0.0 及更早版本非常不同。有关详细信息,请参阅GN 构建说明。
如果您正在使用 Electron 开发应用程序,您可能会在新版 Electron 4.0.0-nightly 中注意到一些细微的变化;但更可能的是,Electron 构建系统的更改对您来说是完全透明的。
GN 比 GYP 更快,并且其文件更易读和维护。此外,我们希望使用单个构建配置系统将减少将 Electron 升级到新版本 Chromium 所需的工作。
已发现一个远程代码执行漏洞,该漏洞会影响 Electron 版本(3.0.0-beta.6、2.0.7、1.8.7 和 1.7.15)上具有打开嵌套子窗口能力的应用。此漏洞已被分配 CVE 标识符 CVE-2018-15685。
如果您符合以下条件,则会受到影响
详细信息
如果任何用户代码在 iframe 中运行/可以创建 iframe,您就会受到影响。考虑到 XSS 漏洞的可能性,可以认为大多数应用都容易受到这种情况的影响。
如果您使用 nativeWindowOpen: true 或 sandbox: true 选项打开任何窗口,您也会受到影响。尽管此漏洞还需要您的应用程序中存在 XSS 漏洞,但如果您使用其中任何一个选项,您仍然应该应用以下缓解措施之一。
我们已发布新版本的 Electron,其中包含此漏洞的修复程序:3.0.0-beta.7、2.0.8、1.8.8 和 1.7.16。我们敦促所有 Electron 开发人员立即将其应用程序更新到最新的稳定版本。
如果由于某种原因您无法升级您的 Electron 版本,您可以通过对所有 webContents' 上的 new-window 事件进行 blanket-calling event.preventDefault() 来保护您的应用程序。如果您根本不使用 window.open 或任何子窗口,那么这也是您应用程序的有效缓解措施。
mainWindow.webContents.on('new-window', (e) => e.preventDefault());
如果您依赖于您的子窗口创建孙子窗口的能力,那么第三种缓解策略是在您的顶级窗口上使用以下代码
const enforceInheritance = (topWebContents) => {
const handle = (webContents) => {
webContents.on(
'new-window',
(event, url, frameName, disposition, options) => {
if (!options.webPreferences) {
options.webPreferences = {};
}
Object.assign(
options.webPreferences,
topWebContents.getLastWebPreferences(),
);
if (options.webContents) {
handle(options.webContents);
}
},
);
};
handle(topWebContents);
};
enforceInheritance(mainWindow.webContents);
此代码将手动强制将顶级窗口 webPreferences 手动应用于所有无限深度的子窗口。
此漏洞由 Contrast Security 的 Matt Austin 负责任地发现并报告给 Electron 项目。
要了解有关保持 Electron 应用安全的最佳实践的更多信息,请参阅我们的安全教程。
如果您希望报告 Electron 中的漏洞,请发送电子邮件至security@electronjs.org。
Electron 网站有一个新的搜索引擎,可为 API 文档、教程、Electron 相关 npm 包等提供即时结果。
学习像 Electron 这样的新技术或框架可能会让人望而生畏。一旦您度过了快速入门阶段,就很难学习最佳实践、找到正确的 API 或发现可帮助您构建梦想应用程序的工具。我们希望 Electron 网站成为一个更好的工具,用于查找您构建应用程序所需资源,从而更快更轻松。
访问 electronjs.org 上的任何页面,您都会在页面顶部找到新的搜索输入框。
当我们最初着手为网站添加搜索功能时,我们使用 GraphQL 作为后端推出了我们自己的搜索引擎。GraphQL 使用起来很有趣,搜索引擎性能良好,但我们很快意识到构建搜索引擎并非易事。诸如多词搜索和错别字检测之类的功能需要大量工作才能做好。我们决定使用现有的搜索解决方案:Algolia,而不是重新发明轮子。
Algolia 是一种托管搜索服务,已迅速成为 React、Vue、Bootstrap、Yarn 和许多其他流行的开源项目首选的搜索引擎。
以下是一些使 Algolia 非常适合 Electron 项目的功能
widnow,您仍然会获得结果。"exact quoted matches" 和 -exclusion。有时你知道你想要完成什么,但你不确切知道如何去做。Electron 拥有超过 750 种 API 方法、事件和属性。没有人可以轻易记住所有这些,但计算机擅长处理这些东西。使用 Electron 的 JSON API 文档,我们在 Algolia 中索引了所有这些数据,现在你可以轻松找到你需要的确切 API。
尝试调整窗口大小?搜索 resize 并直接跳转到你需要的方法。
Electron 拥有不断增长的教程集合,以补充其 API 文档。现在你可以更轻松地找到关于特定主题的教程,就在相关的 API 文档旁边。
正在寻找安全最佳实践?搜索 security。
npm 仓库中现在有超过 700,000 个包,找到你需要的包并不总是容易的。为了更容易发现这些模块,我们创建了 electron-npm-packages,这是仓库中 3400 多个专门为 Electron 构建的模块的集合。
Libraries.io 的人们创建了 SourceRank,这是一个基于代码、社区、文档和使用情况等指标组合对软件项目进行评分的系统。我们创建了一个 sourceranks 模块,其中包括 npm 仓库中每个模块的分数,我们使用这些分数对包结果进行排序。
想要 Electron 内置 IPC 模块的替代方案?搜索 is:package ipc。
使用 Algolia 索引数据很容易,所以我们从 electron/apps 添加了现有的应用列表。
如果你以前使用过 GitHub 的 代码搜索,你可能知道它以冒号分隔的键值过滤器,如 extension:js 或 user:defunkt。我们认为这种过滤技术非常强大,因此我们在 Electron 的搜索中添加了一个 is: 关键字,让你将结果过滤为仅显示单一类型
人们喜欢键盘快捷键!新的搜索可以在不将手指离开键盘的情况下使用
我们还开源了 模块,该模块实现了这种键盘交互。它专为与 Algolia InstantSearch 一起使用而设计,但已通用化以实现与不同搜索实现的兼容性。
如果你在使用新搜索工具时遇到任何问题,我们希望听到你的反馈!
提交反馈的最佳方式是在 GitHub 上在相应的仓库中提交 issue
特别感谢 Emily Jordan 和 Vanessa Yuen 构建这些新的搜索功能,感谢 Libraries.io 提供 SourceRank 分数,并感谢 Algolia 团队帮助我们入门。🍹
自从新的国际化 Electron 网站 发布 以来,我们一直在努力使英语世界以外的开发者更容易获得 Electron 开发体验。
所以我们在这里带来一些令人兴奋的 i18n 更新!
你知道吗,许多阅读翻译文档的人经常与原始英文文档交叉参考?他们这样做是为了熟悉英文文档,并避免过时或不准确的翻译,这是国际化文档的一个缺点。
为了更轻松地交叉参考英文文档,我们最近发布了一个功能,允许你在英文和你在网站上查看的任何语言之间无缝切换 Electron 文档的某个部分。只要你在网站上选择了非英文语言环境,语言切换就会显示出来。
在阅读文档时发现错别字或不正确的翻译?你不再需要登录 Crowdin,选择你的语言环境,找到你想修复的文件等等。相反,你只需滚动到所述文档的底部,然后单击“翻译此文档”(或你语言中的等效内容)。瞧!你将被直接带到 Crowdin 翻译页面。现在应用你的翻译魔法吧!
自从我们公开 Electron 文档 i18n 工作以来,我们看到了来自世界各地的 Electron 社区成员的翻译贡献大幅增长。到目前为止,我们已经翻译了 1,719,029 个字符串,来自 1,066 位社区翻译者,并支持 25 种语言。
这是一个有趣的图表,显示了如果保持现有节奏(基于撰写本文时过去 14 天的项目活动),将项目翻译成每种语言所需的大概时间。
我们想对每位为改进 Electron 贡献时间的人表示衷心的 ❤️ 感谢 ❤️!为了正确感谢我们翻译社区的辛勤工作,我们创建了一份调查,以收集关于我们翻译者的一些信息(即他们的 Crowdin 和 Github 用户名之间的映射)。
如果你是我们出色的翻译者之一,请花几分钟填写此表单:https://goo.gl/forms/b46sjdcHmlpV0GKT2。
由于 Electron 的 i18n 倡议的成功,Node.js 决定效仿我们使用的模式 改进他们的 i18n 工作!🎉 Node.js i18n 倡议 现已启动并获得巨大势头,但你仍然可以阅读有关早期提案及其背后原因的 文章。
如果你有兴趣加入我们的行列,让 Electron 更加国际友好,我们有一份方便的 贡献指南,帮助你入门。国际化愉快!📚
经过四个多月的开发、八个 beta 版本以及来自许多应用的阶段性推广的全球测试,Electron 2.0.0 版本现已在 electronjs.org 上发布。
从 2.0.0 开始,Electron 的发布将遵循 语义版本控制。这意味着主版本将更频繁地提升,并且通常是对 Chromium 的重大更新。补丁版本应该更稳定,因为它们将仅包含高优先级的错误修复。
Electron 2.0.0 还代表了在主要版本发布之前如何稳定 Electron 的改进。一些大型 Electron 应用程序已在其阶段性推广中包含 2.0.0 beta 版本,为 beta 系列提供了 Electron 有史以来最好的反馈循环。
shutdown 事件。 #11417affinity 选项。 #11501mips64el arch 的支持。Electron 需要 C++14 工具链,在发布时该工具链不适用于该 arch。我们希望在未来重新添加支持。webContents.isOffscreen() 始终可用。 #12531BrowserWindow.getFocusedWindow() 的问题。 #12554Menu.buildFromTemplate 的问题。 #12703getLastCrashReport() 实际上是上次崩溃报告。 #12255hexColorDWORDToRGBA。 #11557console-message 事件。 #11921WebContents.downloadURL 从自定义协议下载的问题。 #11804setTitle 托盘崩溃问题。 #12356desktopCapturer 以捕获正确的屏幕。 #11664disableHardwareAcceleration。 #11704Electron 团队正在努力支持更新版本的 Chromium、Node 和 v8。预计 3.0.0-beta.1 即将推出!
今天,我们发布了一个免费、开源、托管的 更新网络服务 和配套的 npm 包,以实现开源 Electron 应用的简易自动更新。这是朝着使应用开发者减少考虑部署,更多考虑为其用户开发高质量体验迈出的一步。
Electron 有一个 autoUpdater API,它使应用能够从远程端点使用元数据来检查更新、在后台下载更新并自动安装它们。
对于许多 Electron 应用开发者来说,启用这些更新一直是部署过程中繁琐的一步,因为它需要部署和维护 Web 服务器才能仅服务于应用版本历史元数据。
今天,我们宣布了一个新的即插即用解决方案,用于自动应用更新。如果你的 Electron 应用位于公共 GitHub 仓库中,并且你正在使用 GitHub Releases 发布构建,则可以使用此服务向用户交付持续的应用更新。
为了最大程度地减少你的配置,我们创建了 update-electron-app,这是一个与新的 update.electronjs.org 网络服务集成的 npm 模块。
安装模块
npm install update-electron-app
从你应用的 主进程 中的任何位置调用它
require('update-electron-app')();
就是这样!该模块将在应用启动时以及之后每十分钟检查更新。当找到更新时,它将在后台自动下载,并在更新准备就绪时显示一个对话框。
已经使用 Electron autoUpdater API 的应用也可以使用此服务。为此,你可以 自定义 update-electron-app 模块或 直接与 update.electronjs.org 集成。
如果你正在使用 electron-builder 打包你的应用,则可以使用其内置的更新程序。有关详细信息,请参阅 electron.build/auto-update。
如果你的应用是私有的,你可能需要运行自己的更新服务器。有许多开源工具可以做到这一点,包括 Zeit 的 Hazel 和 Atlassian 的 Nucleus。有关更多信息,请参阅 部署更新服务器 教程。
感谢 Julian Gruber 帮助设计和构建这个简单且可扩展的网络服务。感谢 Zeit 的人们提供的开源 Hazel 服务,我们从中汲取了设计灵感。感谢 Samuel Attard 进行代码审查。感谢 Electron 社区帮助测试此服务。
🌲 祝愿 Electron 应用拥有常青的未来!
新的 Electron 2.0 发布线 满载 新功能和修复。这个新的主要版本的一个亮点是 Apple Mac App Store 的新 inAppPurchase API。
应用内购买使内容或订阅可以直接从应用内购买。这为开发者提供了一种轻松采用 免费增值商业模式 的方法,用户可以免费下载应用,并为高级功能、附加内容或订阅提供可选的应用内购买。
新的 API 由社区贡献者 Adrien Fery 添加到 Electron,以在 Amanote 中启用应用内购买,Amanote 是一款用于讲座和会议的笔记 Electron 应用。Amanote 可以免费下载,并允许将清晰且结构化的笔记添加到 PDF 中,其功能包括数学公式、绘图、录音等。
自从为 Amanote 的 Mac 版本添加应用内购买支持以来,Adrien 指出销售额增长了 40%!
新的 inAppPurchase API 已经登陆最新的 Electron beta 版
npm i -D electron@beta
API 的文档可以在 GitHub 上找到,并且 Adrien 非常好心地编写了一个关于如何使用 API 的教程。要开始将应用内购买添加到你的应用,请查看教程。
更多 API 的改进正在进行中,并将很快在即将到来的 Electron beta 版本中发布。
接下来,Adrien 希望通过在 Electron 中添加对 Microsoft Store 应用内购买的支持,为 Amanote 开辟新的收入渠道。请继续关注相关进展!