在 Electron 中使用 webview 标签是否安全?

【问题标题】:Is it safe to use webview tag in Electron?在 Electron 中使用 webview 标签是否安全?
【发布时间】:2019-09-12 07:51:32
【问题描述】:

Electron's webview documentation,有这个警告:

Electron 的 webview 标签基于 Chromium 的 webview,它 正在经历巨大的建筑变化。这影响了 webviews的稳定性,包括渲染、导航和事件 路由。我们目前建议不要使用 webview 标签并 考虑替代方案,例如 iframe、Electron 的 BrowserView 或 完全避免嵌入内容的架构。

它建议不要使用webview,但是没有一个替代方案,如iframeBrowserView 可以像webview 那样适合我的用例。所以我想知道上面的警告是否建议不要使用webviewonly,因为 API 和架构将来可能会发生变化,或者现在webview 是否存在任何已知的安全问题?总的来说,我最关心的是:现在使用webview(在安全方面)是否安全

【问题讨论】:

    标签: security webview electron


    【解决方案1】:

    此问题已回复https://github.com/electron/electron/issues/18187

    Webviews 在单独的进程中运行,并且默认情况下禁用节点集成,因此不应该有任何主要原因导致它们不如替代方案安全。您肯定会想使用webPreferences 选项来启用沙盒、禁用远程模块、启用上下文隔离等(example for BrowserView)。

    但是,目前 webview 中存在相当多的错误,最近的一些示例:

    #17890

    #18019

    #18177

    其中大部分都不存在于 BrowserView 中,因此如果可能的话,您肯定希望使用它。

    【讨论】:

      猜你喜欢
      • 2019-10-05
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-01-25
      • 2011-04-30
      • 2017-03-16
      • 2018-11-08
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode