#security #webview #electron
#Безопасность #webview #electron
Вопрос:
В документации webview Electron есть это предупреждение:
Тег webview от Electron основан на webview от Chromium, который претерпевает значительные архитектурные изменения. Это влияет на стабильность веб-просмотров, включая визуализацию, навигацию и маршрутизацию событий. В настоящее время мы рекомендуем не использовать тег webview и рассмотреть альтернативные варианты, такие как iframe, просмотр браузера Electron или архитектура, которая полностью исключает встроенный контент.
Он рекомендует не использовать webview , однако ни один из альтернативных вариантов, таких как iframe или BrowserView , не может соответствовать моему варианту использования так хорошо, как webview делает. Итак, мне интересно, рекомендует ли приведенное выше предупреждение не использовать webview только потому, что API и архитектура могут измениться в будущем, или есть какие-либо известные проблемы безопасности webview прямо сейчас? И вообще, что меня больше всего волнует: безопасно ли это использовать webview (с точки зрения безопасности) прямо сейчас?
Ответ №1:
На этот вопрос был дан ответhttps://github.com/electron/electron/issues/18187.
Веб-просмотры выполняются в отдельном процессе, и по умолчанию интеграция с узлом отключена, поэтому не должно быть какой-либо серьезной причины, по которой они менее безопасны, чем альтернативы. Вы определенно захотите использовать
webPreferencesопцию для включения песочницы, отключения удаленного модуля, включения изоляции контекста и т.д. (пример для BrowserView).Тем не менее, прямо сейчас в webviews есть достаточное количество ошибок, некоторые недавние примеры:
Большинство из них отсутствуют в BrowserView, поэтому вы определенно захотите использовать его вместо этого, если это вообще возможно.