跳到主要内容

安全

报告安全问题

有关如何正确披露 Electron 漏洞的信息,请参阅 SECURITY.md

关于上游 Chromium 漏洞:Electron 会与交替的 Chromium 版本保持同步。有关更多信息,请参阅 Electron 发布时间表文档。

前言

作为 Web 开发人员,我们通常会享受浏览器的强大安全防护网 — 我们编写的代码所带来的风险相对较小。我们的网站在沙箱中被赋予有限的权限,并且我们相信我们的用户使用的浏览器是由一个庞大的工程师团队构建的,该团队能够快速响应新发现的安全威胁。

在使用 Electron 时,务必了解 Electron 不是 Web 浏览器。它允许您使用熟悉的 Web 技术构建功能丰富的桌面应用程序,但是您的代码拥有更大的权力。JavaScript 可以访问文件系统、用户 shell 等。这使您可以构建高质量的本地应用程序,但是固有的安全风险会随着授予代码的额外权力而增加。

考虑到这一点,请注意,显示来自不受信任来源的任意内容会带来严重的安全风险,而 Electron 并非旨在处理此问题。实际上,最流行的 Electron 应用程序(Atom、Slack、Visual Studio Code 等)主要显示本地内容(或受信任的、安全的远程内容,而没有 Node 集成)— 如果您的应用程序执行来自在线来源的代码,则您有责任确保该代码不是恶意的。

一般准则

安全是每个人的责任

请务必记住,您的 Electron 应用程序的安全性是框架基础(ChromiumNode.js)、Electron 本身、所有 NPM 依赖项和您的代码的整体安全性的结果。因此,您有责任遵循一些重要的最佳实践

  • 使您的应用程序与最新的 Electron 框架版本保持同步。 在发布产品时,您还同时发布了由 Electron、Chromium 共享库和 Node.js 组成的捆绑包。影响这些组件的漏洞可能会影响您应用程序的安全性。通过将 Electron 更新到最新版本,您可以确保已修补关键漏洞(例如 nodeIntegration 绕过),并且无法在您的应用程序中利用这些漏洞。有关更多信息,请参阅“使用当前版本的 Electron”。

  • 评估您的依赖项。 虽然 NPM 提供了 50 万个可重用软件包,但您有责任选择受信任的第三方库。如果您使用受已知漏洞影响的过时库或依赖于维护不善的代码,则您的应用程序安全性可能会受到威胁。

  • 采用安全的编码实践。 您的应用程序的第一道防线是您自己的代码。常见的 Web 漏洞(例如跨站点脚本 (XSS))对 Electron 应用程序具有更高的安全影响,因此强烈建议采用安全的软件开发最佳实践并执行安全测试。

不受信任内容的隔离

每当您从不受信任的来源(例如远程服务器)接收代码并在本地执行它时,就会存在安全问题。例如,考虑在默认 BrowserWindow 中显示的远程网站。如果攻击者以某种方式设法更改了上述内容(通过直接攻击源,或通过在您的应用程序和实际目标之间进行中间人攻击),他们将能够在用户的计算机上执行本机代码。

警告

在任何情况下,您都不应在启用 Node.js 集成的情况下加载和执行远程代码。相反,仅使用本地文件(与您的应用程序一起打包)来执行 Node.js 代码。要显示远程内容,请使用 <webview> 标记或 WebContentsView 并确保禁用 nodeIntegration 并启用 contextIsolation

Electron 安全警告

安全警告和建议会打印到开发者控制台。它们仅在二进制文件的名称为 Electron 时才会显示,表明开发人员当前正在查看控制台。

您可以通过在 process.envwindow 对象上设置 ELECTRON_ENABLE_SECURITY_WARNINGSELECTRON_DISABLE_SECURITY_WARNINGS 来强制启用或强制禁用这些警告。

清单:安全建议

您至少应遵循以下步骤来提高应用程序的安全性

  1. 仅加载安全内容
  2. 在所有显示远程内容的渲染器中禁用 Node.js 集成
  3. 在所有渲染器中启用上下文隔离
  4. 启用进程沙箱
  5. 在所有加载远程内容的会话中使用 ses.setPermissionRequestHandler()
  6. 不要禁用 webSecurity
  7. 定义 Content-Security-Policy 并使用限制性规则(即 script-src 'self'
  8. 不要启用 allowRunningInsecureContent
  9. 不要启用实验性功能
  10. 不要使用 enableBlinkFeatures
  11. <webview>:不要使用 allowpopups
  12. <webview>:验证选项和参数
  13. 禁用或限制导航
  14. 禁用或限制创建新窗口
  15. 不要将 shell.openExternal 与不受信任的内容一起使用
  16. 使用当前版本的 Electron
  17. 验证所有 IPC 消息的 sender
  18. 避免使用 file:// 协议,而更喜欢使用自定义协议
  19. 检查您可以更改哪些熔断器

为了自动检测错误配置和不安全的模式,可以使用 Electronegativity。有关使用 Electron 开发应用程序时可能存在的弱点和实现错误的更多详细信息,请参阅此面向开发人员和审核人员的指南

1. 仅加载安全内容

任何未包含在您的应用程序中的资源都应使用安全协议(例如 HTTPS)加载。换句话说,不要使用不安全的协议(例如 HTTP)。同样,我们建议使用 WSS 而不是 WSFTPS 而不是 FTP 等。

为什么?

HTTPS 有两个主要优点

  1. 它确保数据完整性,断言数据在您的应用程序和主机之间传输时未被修改。
  2. 它加密您的用户和目标主机之间的流量,使其更难以窃听您的应用程序和主机之间发送的信息。

如何?

main.js(主进程)
// Bad
browserWindow.loadURL('http://example.com')

// Good
browserWindow.loadURL('https://example.com')
index.html(渲染器进程)
<!-- Bad -->
<script crossorigin src="http://example.com/react.js"></script>
<link rel="stylesheet" href="http://example.com/style.css">

<!-- Good -->
<script crossorigin src="https://example.com/react.js"></script>
<link rel="stylesheet" href="https://example.com/style.css">

2. 不要为远程内容启用 Node.js 集成

信息

此建议是自 5.0.0 版本以来 Electron 中的默认行为。

至关重要的是,您不要在任何加载远程内容的渲染器(BrowserWindowWebContentsView<webview>)中启用 Node.js 集成。目标是限制您授予远程内容的权限,从而使攻击者如果获得在您的网站上执行 JavaScript 的能力,则会更加难以伤害您的用户。

之后,您可以为特定主机授予额外的权限。例如,如果您正在打开一个指向 https://example.com/ 的 BrowserWindow,您可以仅授予该网站所需的功能,不多不少。

为什么?

如果攻击者可以跳出渲染器进程并在用户计算机上执行代码,跨站脚本 (XSS) 攻击会更加危险。跨站脚本攻击相当常见——虽然存在问题,但它们的威力通常仅限于破坏它们所执行的网站。禁用 Node.js 集成有助于防止 XSS 升级为所谓的“远程代码执行”(RCE) 攻击。

如何?

main.js(主进程)
// Bad
const mainWindow = new BrowserWindow({
  webPreferences: {
    contextIsolation: false,
    nodeIntegration: true,
    nodeIntegrationInWorker: true
  }
})

mainWindow.loadURL('https://example.com')
main.js(主进程)
// Good
const mainWindow = new BrowserWindow({
  webPreferences: {
    preload: path.join(app.getAppPath(), 'preload.js')
  }
})

mainWindow.loadURL('https://example.com')
index.html(渲染器进程)
<!-- Bad -->
<webview nodeIntegration src="page.html"></webview>

<!-- Good -->
<webview src="page.html"></webview>

禁用 Node.js 集成后,您仍然可以向您的网站公开使用 Node.js 模块或功能的 API。预加载脚本仍然可以访问 require 和其他 Node.js 功能,允许开发人员通过 contextBridge API 向远程加载的内容公开自定义 API。

3. 启用上下文隔离

信息

此建议是自 Electron 12.0.0 以来的默认行为。

上下文隔离是 Electron 的一项功能,它允许开发人员在专用 JavaScript 上下文中运行预加载脚本和 Electron API 中的代码。实际上,这意味着全局对象(如 Array.prototype.pushJSON.parse)不能被渲染器进程中运行的脚本修改。

Electron 使用与 Chromium 的 内容脚本相同的技术来实现此行为。

即使使用 nodeIntegration: false,为了真正强制执行强大的隔离并防止使用 Node 原语,也**必须**使用 contextIsolation

信息

有关 contextIsolation 是什么以及如何启用它的更多信息,请参阅我们专门的 上下文隔离 文档。

4. 启用进程沙箱

沙箱是 Chromium 的一项功能,它使用操作系统来显着限制渲染器进程的访问权限。您应该在所有渲染器中启用沙箱。不建议在非沙箱进程(包括主进程)中加载、读取或处理任何不受信任的内容。

信息

有关进程沙箱是什么以及如何启用它的更多信息,请参阅我们专门的 进程沙箱 文档。

5. 处理来自远程内容的会话权限请求

您可能在使用 Chrome 时看到过权限请求:每当网站尝试使用用户必须手动批准的功能(例如通知)时,就会弹出权限请求。

该 API 基于 Chromium 权限 API,并实现相同类型的权限。

为什么?

默认情况下,除非开发人员手动配置了自定义处理程序,否则 Electron 会自动批准所有权限请求。虽然这是一个可靠的默认设置,但具有安全意识的开发人员可能希望假设完全相反的情况。

如何?

main.js(主进程)
const { session } = require('electron')
const { URL } = require('url')

session
  .fromPartition('some-partition')
  .setPermissionRequestHandler((webContents, permission, callback) => {
    const parsedUrl = new URL(webContents.getURL())

    if (permission === 'notifications') {
      // Approves the permissions request
      callback(true)
    }

    // Verify URL
    if (parsedUrl.protocol !== 'https:' || parsedUrl.host !== 'example.com') {
      // Denies the permissions request
      return callback(false)
    }
  })

6. 不要禁用 webSecurity

信息

此建议是 Electron 的默认设置。

您可能已经猜到,禁用渲染器进程(BrowserWindowWebContentsView<webview>)上的 webSecurity 属性会禁用关键的安全功能。

不要在生产应用程序中禁用 webSecurity

为什么?

禁用 webSecurity 将禁用同源策略并将 allowRunningInsecureContent 属性设置为 true。换句话说,它允许执行来自不同域的不安全代码。

如何?

main.js(主进程)
// Bad
const mainWindow = new BrowserWindow({
  webPreferences: {
    webSecurity: false
  }
})
main.js(主进程)
// Good
const mainWindow = new BrowserWindow()
index.html(渲染器进程)
<!-- Bad -->
<webview disablewebsecurity src="page.html"></webview>

<!-- Good -->
<webview src="page.html"></webview>

7. 定义内容安全策略

内容安全策略 (CSP) 是针对跨站脚本攻击和数据注入攻击的额外保护层。我们建议您对在 Electron 中加载的任何网站启用它们。

为什么?

CSP 允许提供内容的服务器限制和控制 Electron 可以为给定的网页加载的资源。应该允许 https://example.com 从您定义的来源加载脚本,而不应允许 https://evil.attacker.com 中的脚本运行。定义 CSP 是提高应用程序安全性的简单方法。

如何?

以下 CSP 将允许 Electron 执行来自当前网站和 apis.example.com 的脚本。

// Bad
Content-Security-Policy: '*'

// Good
Content-Security-Policy: script-src 'self' https://apis.example.com

CSP HTTP 标头

Electron 尊重 Content-Security-Policy HTTP 标头,可以使用 Electron 的 webRequest.onHeadersReceived 处理程序进行设置

main.js(主进程)
const { session } = require('electron')

session.defaultSession.webRequest.onHeadersReceived((details, callback) => {
  callback({
    responseHeaders: {
      ...details.responseHeaders,
      'Content-Security-Policy': ['default-src \'none\'']
    }
  })
})

CSP meta 标签

CSP 的首选传递机制是 HTTP 标头。但是,使用 file:// 协议加载资源时无法使用此方法。在某些情况下,直接在标记中使用 <meta> 标签在页面上设置策略可能很有用。

index.html(渲染器进程)
<meta http-equiv="Content-Security-Policy" content="default-src 'none'">

8. 不要启用 allowRunningInsecureContent

信息

此建议是 Electron 的默认设置。

默认情况下,Electron 将不允许通过 HTTPS 加载的网站加载和执行来自不安全源 (HTTP) 的脚本、CSS 或插件。将属性 allowRunningInsecureContent 设置为 true 会禁用该保护。

通过 HTTPS 加载网站的初始 HTML 并尝试通过 HTTP 加载后续资源也称为“混合内容”。

为什么?

通过 HTTPS 加载内容可以确保加载资源的真实性和完整性,同时加密流量本身。有关更多详细信息,请参阅有关 仅显示安全内容 的部分。

如何?

main.js(主进程)
// Bad
const mainWindow = new BrowserWindow({
  webPreferences: {
    allowRunningInsecureContent: true
  }
})
main.js(主进程)
// Good
const mainWindow = new BrowserWindow({})

9. 不要启用实验性功能

信息

此建议是 Electron 的默认设置。

Electron 的高级用户可以使用 experimentalFeatures 属性启用实验性的 Chromium 功能。

为什么?

顾名思义,实验性功能是实验性的,尚未为所有 Chromium 用户启用。此外,它们对 Electron 整体的影响可能尚未经过测试。

存在合理的用例,但除非您知道自己在做什么,否则不应启用此属性。

如何?

main.js(主进程)
// Bad
const mainWindow = new BrowserWindow({
  webPreferences: {
    experimentalFeatures: true
  }
})
main.js(主进程)
// Good
const mainWindow = new BrowserWindow({})

10. 不要使用 enableBlinkFeatures

信息

此建议是 Electron 的默认设置。

Blink 是 Chromium 背后的渲染引擎的名称。与 experimentalFeatures 一样,enableBlinkFeatures 属性允许开发人员启用默认情况下已禁用的功能。

为什么?

一般来说,如果默认情况下未启用某个功能,则可能存在充分的理由。存在启用特定功能的合理用例。作为开发人员,您应该确切地知道为什么需要启用某个功能、其后果是什么以及它如何影响应用程序的安全性。在任何情况下都不应推测性地启用功能。

如何?

main.js(主进程)
// Bad
const mainWindow = new BrowserWindow({
  webPreferences: {
    enableBlinkFeatures: 'ExecCommandInJavaScript'
  }
})
main.js(主进程)
// Good
const mainWindow = new BrowserWindow()

11. 不要对 WebViews 使用 allowpopups

信息

此建议是 Electron 的默认设置。

如果您正在使用 <webview>,您可能需要加载到 <webview> 标签中的页面和脚本打开新窗口。allowpopups 属性使它们能够使用 window.open() 方法创建新的 BrowserWindows。否则,不允许 <webview> 标签创建新窗口。

为什么?

如果您不需要弹出窗口,则最好不要默认允许创建新的 BrowserWindows。这遵循最低限度访问原则:除非您知道某个网站需要该功能,否则不要让该网站创建新的弹出窗口。

如何?

index.html(渲染器进程)
<!-- Bad -->
<webview allowpopups src="page.html"></webview>

<!-- Good -->
<webview src="page.html"></webview>

12. 在创建之前验证 WebView 选项

在未启用 Node.js 集成的渲染器进程中创建的 WebView 将无法自行启用集成。但是,WebView 始终会创建一个具有其自己的 webPreferences 的独立渲染器进程。

最好从主进程控制新 <webview> 标签的创建,并验证其 webPreferences 是否未禁用安全功能。

为什么?

由于 <webview> 存在于 DOM 中,即使以其他方式禁用了 Node.js 集成,也可以由在您的网站上运行的脚本创建它们。

Electron 使开发人员能够禁用控制渲染器进程的各种安全功能。在大多数情况下,开发人员无需禁用任何这些功能 - 因此,您不应允许为新创建的 <webview> 标签使用不同的配置。

如何?

在附加 <webview> 标签之前,Electron 将在托管的 webContents 上触发 will-attach-webview 事件。使用该事件来防止创建可能具有不安全选项的 webViews

main.js(主进程)
app.on('web-contents-created', (event, contents) => {
  contents.on('will-attach-webview', (event, webPreferences, params) => {
    // Strip away preload scripts if unused or verify their location is legitimate
    delete webPreferences.preload

    // Disable Node.js integration
    webPreferences.nodeIntegration = false

    // Verify URL being loaded
    if (!params.src.startsWith('https://example.com/')) {
      event.preventDefault()
    }
  })
})

同样,此列表仅最大限度地降低风险,但并未消除风险。如果您的目标是显示网站,则浏览器将是更安全的选择。

13. 禁用或限制导航

如果您的应用程序不需要导航,或者只需要导航到已知的页面,最好将导航完全限制在该已知范围内,不允许任何其他类型的导航。

为什么?

导航是一种常见的攻击途径。如果攻击者能够说服您的应用程序离开当前页面进行导航,他们可能会强制您的应用程序打开互联网上的网站。即使您的 webContents 配置得更安全(例如禁用 nodeIntegration 或启用 contextIsolation),让您的应用程序打开一个随机网站也会大大降低攻击者利用您应用程序的难度。

一种常见的攻击模式是,攻击者说服您的应用程序用户以某种方式与应用程序交互,使其导航到攻击者的某个页面。这通常通过链接、插件或其他用户生成的内容来完成。

如何操作?

如果您的应用程序不需要导航,您可以在 will-navigate 处理程序中调用 event.preventDefault()。如果您知道您的应用程序可能会导航到哪些页面,请在事件处理程序中检查 URL,并且仅当它与您期望的 URL 匹配时才允许导航发生。

我们建议您使用 Node 的 URL 解析器。简单的字符串比较有时会被欺骗 - startsWith('https://example.com') 测试会让 https://example.com.attacker.com 通过。

main.js(主进程)
const { URL } = require('url')
const { app } = require('electron')

app.on('web-contents-created', (event, contents) => {
  contents.on('will-navigate', (event, navigationUrl) => {
    const parsedUrl = new URL(navigationUrl)

    if (parsedUrl.origin !== 'https://example.com') {
      event.preventDefault()
    }
  })
})

14. 禁用或限制新窗口的创建

如果您有一组已知的窗口,那么限制在您的应用程序中创建其他窗口是个好主意。

为什么?

与导航非常相似,创建新的 webContents 是一种常见的攻击途径。攻击者会尝试说服您的应用程序创建新的窗口、框架或其他渲染器进程,这些进程具有比以前更高的权限;或者打开他们以前无法打开的页面。

如果您除了您知道需要创建的窗口之外,不需要创建其他窗口,那么禁用窗口创建会以零成本为您提供一点额外的安全性。这通常适用于打开一个 BrowserWindow 且不需要在运行时打开任意数量的其他窗口的应用程序。

如何操作?

webContents 会在其创建新窗口之前委托给其 窗口打开处理程序。该处理程序将接收窗口被请求打开的 url 以及用于创建它的选项等参数。我们建议您注册一个处理程序来监视窗口的创建,并拒绝任何意外的窗口创建。

main.js(主进程)
const { app, shell } = require('electron')

app.on('web-contents-created', (event, contents) => {
  contents.setWindowOpenHandler(({ url }) => {
    // In this example, we'll ask the operating system
    // to open this event's url in the default browser.
    //
    // See the following item for considerations regarding what
    // URLs should be allowed through to shell.openExternal.
    if (isSafeForExternalOpen(url)) {
      setImmediate(() => {
        shell.openExternal(url)
      })
    }

    return { action: 'deny' }
  })
})

15. 不要将 shell.openExternal 与不受信任的内容一起使用

shell 模块的 openExternal API 允许使用桌面的本机实用程序打开给定的协议 URI。例如,在 macOS 上,此函数类似于 open 终端命令实用程序,并将根据 URI 和文件类型关联打开特定的应用程序。

为什么?

不正确地使用 openExternal 可能会被利用来危害用户的主机。当 openExternal 与不受信任的内容一起使用时,它可能会被用来执行任意命令。

如何操作?

main.js(主进程)
//  Bad
const { shell } = require('electron')
shell.openExternal(USER_CONTROLLED_DATA_HERE)
main.js(主进程)
//  Good
const { shell } = require('electron')
shell.openExternal('https://example.com/index.html')

16. 使用当前版本的 Electron

您应该努力始终使用 Electron 的最新可用版本。每当发布新的主要版本时,您都应尝试尽快更新您的应用程序。

为什么?

使用旧版本的 Electron、Chromium 和 Node.js 构建的应用程序比使用这些组件的更新版本的应用程序更容易受到攻击。一般来说,旧版本的 Chromium 和 Node.js 的安全问题和漏洞更容易被获取。

Chromium 和 Node.js 都是由成千上万才华横溢的开发人员构建的令人印象深刻的工程壮举。鉴于它们的受欢迎程度,它们的安全性受到了同样熟练的安全研究人员的仔细测试和分析。许多研究人员 负责任地披露漏洞,这通常意味着研究人员会给 Chromium 和 Node.js 一些时间来修复问题,然后再发布它们。如果您的应用程序运行的是 Electron(因此也是 Chromium 和 Node.js)的最新版本,那么潜在的安全问题就不会那么广为人知,您的应用程序会更安全。

如何操作?

一次迁移您的应用程序一个主要版本,同时参考 Electron 的 重大更改 文档,以查看是否需要更新任何代码。

17. 验证所有 IPC 消息的 sender

您应始终验证传入的 IPC 消息的 sender 属性,以确保您不会对不受信任的渲染器执行操作或发送信息。

为什么?

理论上,所有 Web 框架都可以向主进程发送 IPC 消息,包括某些情况下的 iframe 和子窗口。如果您有通过 event.reply 将用户数据返回给发送者或执行渲染器无法本机执行的特权操作的 IPC 消息,则应确保您没有在侦听第三方 Web 框架。

您应该默认验证所有 IPC 消息的 sender

如何操作?

main.js(主进程)
// Bad
ipcMain.handle('get-secrets', () => {
  return getSecrets()
})

// Good
ipcMain.handle('get-secrets', (e) => {
  if (!validateSender(e.senderFrame)) return null
  return getSecrets()
})

function validateSender (frame) {
  // Value the host of the URL using an actual URL parser and an allowlist
  if ((new URL(frame.url)).host === 'electronjs.org') return true
  return false
}

18. 避免使用 file:// 协议,而倾向于使用自定义协议

您应该使用自定义协议而不是 file:// 协议来提供本地页面。

为什么?

与 Web 浏览器中相比,file:// 协议在 Electron 中获得了更多特权,甚至在浏览器中,它与 http/https URL 的处理方式也不同。使用自定义协议可以使您更符合经典的 Web URL 行为,同时保留对加载内容和时间的更多控制。

file:// 上运行的页面可以单方面访问您机器上的每个文件,这意味着 XSS 问题可以用来从用户机器加载任意文件。使用自定义协议可以防止此类问题,因为您可以将该协议限制为仅服务于一组特定的文件。

如何操作?

按照 protocol.handle 示例,了解如何从自定义协议提供文件/内容。

19. 检查您可以更改哪些熔断器

Electron 附带了许多有用的选项,但大部分应用程序可能不需要。为了避免必须构建自己的 Electron 版本,可以使用 熔断器 来关闭或打开这些选项。

为什么?

某些熔断器(如 runAsNodenodeCliInspect)允许应用程序在从命令行使用特定环境变量或 CLI 参数运行时表现不同。这些可用于通过您的应用程序在设备上执行命令。

这可以让外部脚本运行它们可能不允许运行的命令,但您的应用程序可能具有运行这些命令的权限。

如何操作?

我们已经创建了一个模块 @electron/fuses,以便轻松切换这些熔断器。请查看该模块的 README,以获取有关用法和潜在错误案例的更多详细信息,并参考我们的文档中的 如何翻转熔断器?