上下文隔离
它是什么?
上下文隔离是一项功能,可确保您的 preload 脚本和 Electron 的内部逻辑与您在 webContents 中加载的网站运行在不同的上下文中。这对于安全非常重要,因为它有助于防止网站访问 Electron 内部或您的 preload 脚本可以访问的强大 API。
这意味着您的 preload 脚本可以访问的 window 对象实际上与网站可以访问的对象是不同的。例如,如果您在 preload 脚本中设置了 window.hello = 'wave',并且启用了上下文隔离,那么当网站尝试访问它时,window.hello 将是 undefined。
自 Electron 12 起,上下文隔离已默认启用,并且是所有应用程序推荐的安全设置。
迁移
在没有上下文隔离的情况下,我过去会使用
window.X = apiObject从我的 preload 脚本提供 API。现在怎么办?
之前:上下文隔离已禁用
将 API 从 preload 脚本公开到渲染进程中加载的网站是一个常见的用例。在禁用上下文隔离的情况下,您的 preload 脚本将与渲染进程共享一个通用的全局 window 对象。然后,您可以向 preload 脚本附加任意属性
// preload with contextIsolation disabled
window.myAPI = {
doAThing: () => {}
}
然后可以在渲染进程中直接使用 doAThing() 函数
// use the exposed API in the renderer
window.myAPI.doAThing()
之后:上下文隔离已启用
Electron 中有一个专用模块,可以帮助您以无痛的方式完成此操作。contextBridge 模块可用于安全地将 API 从 preload 脚本的隔离上下文公开到网站运行的上下文中。网站也可以从 window.myAPI 访问该 API,就像以前一样。
// preload with contextIsolation enabled
const { contextBridge } = require('electron')
contextBridge.exposeInMainWorld('myAPI', {
doAThing: () => {}
})
// use the exposed API in the renderer
window.myAPI.doAThing()
请阅读上面链接的 contextBridge 文档,以完全理解其局限性。例如,您不能通过桥接发送自定义原型或符号。
安全注意事项
仅启用 contextIsolation 和使用 contextBridge 并不意味着您所做的一切都是安全的。例如,此代码是不安全的。
// ❌ Bad code
contextBridge.exposeInMainWorld('myAPI', {
send: ipcRenderer.send
})
它直接公开了一个强大的 API,没有任何参数过滤。这将允许任何网站发送任意 IPC 消息,这是您不希望发生的。暴露基于 IPC 的 API 的正确方法是为每个 IPC 消息提供一个方法。
// ✅ Good code
contextBridge.exposeInMainWorld('myAPI', {
loadPreferences: () => ipcRenderer.invoke('load-prefs')
})
与 TypeScript 的用法
如果您使用 TypeScript 构建 Electron 应用程序,您将需要为通过上下文桥暴露的 API 添加类型。除非您使用声明文件扩展类型,否则渲染器的 window 对象将没有正确的类型。
例如,给定这个 preload.ts 脚本
contextBridge.exposeInMainWorld('electronAPI', {
loadPreferences: () => ipcRenderer.invoke('load-prefs')
})
您可以创建一个 interface.d.ts 声明文件并全局扩展 Window 接口
export interface IElectronAPI {
loadPreferences: () => Promise<void>,
}
declare global {
interface Window {
electronAPI: IElectronAPI
}
}
这样做将确保 TypeScript 编译器在编写渲染进程脚本时了解全局 window 对象上的 electronAPI 属性
window.electronAPI.loadPreferences()