Web开发人员可以使用主要的Javascript框架库(包括Angular,React和Vue)构建能在不同操作系统上运行的跨平台桌面应用程序。此过程无需再花费时间学习新的编程语言。
Electron的安全性以及Node.js的危险性
Symbol桌面钱包(v9.7版)提供了浏览“新闻”的功能,只要用户点击新闻中的链接,应用程序便会从钱包窗口加载外部网站(图中展示的是Github)。
Electron本身是非常优秀的软件框架,但开发人员要注意不要因为配置错误而使程序暴露在危险之中。在产品中使用新技术时要小心,要保持谨慎并了解潜在的安全风险。这里CertiK安全团队总结了几个要点来提高基于Electron的应用程序的安全性:
在生产版本中移除对development console的访问。
除非应用程序绝对必要,否则将“nodeintegration”设置为false。
使用“event.preventDefault()来禁止应用程序加载外部网页。
使用React,Vue或Angular(2+)等前端框架开发应用程序,以减少应用程序包含XSS(跨站点脚本)漏洞的机会。
持续使用最新版本的Electron框架,并保持更新。
开发Electron应用程序时,请务必阅读参考官方安全指南(参考文献7)。其中包含了可以提高Electron的应用的安全性的建议。
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/cve-2018-1000136-electron-nodeintegration-bypass/
https://github.com/nemfoundation/symbol-desktop-wallet
https://github.com/nemfoundation/symbol-desktop-wallet/blob/14ddfd44fe9a54b54f8261dfaa68b2f88be211ce/public/build.js
https://github.com/nemfoundation/symbol-desktop-wallet/blob/master/public/build.js#L237
https://github.com/terra-project/station-electron/blob/5a919b87323c9d1d9c76f7c4a7deff5d731d235e/public/electron.js
https://www.electronjs.org/docs/tutorial/security#5-do-not-disable-websecurity
https://www.electronjs.org/docs/tutorial/securit
版权声明:项目均采集于互联网, 空投币 无法审核全面,且希望大家能赚钱,请谨慎切勿上当受骗!
温馨提示:★★★天上真会掉馅饼!天道酬勤,都是机会!不错过每个空投糖果!真假难以辨认,尽量0撸!
