规范
基础原则(不断更新)
Chromium 本身会带来安全问题需要及时升级,但还是不可能完全与官方同步
Security Is Everyone's Responsibility,选好良好的第三方库,把关好自己的代码
隔离好不信任的上下文
打开 Electron 的控制台安全警告
开发安全建议:
- 只加载 HTTPS、FTPS 等安全的资源
- 禁止在所有渲染器中使用 Node.js 集成显示远程内容
- 做所有显示远程内容的渲染器中启用上下文隔离。
- 在所有加载远程内容的会话中使用 ses.setPermissionRequestHandler().
- 不要禁用 webSecurity
- 定义一个 Content-Security-Policy 并设置限制规则(如:script-src 'self')
- 不要设置 allowRunningInsecureContent 为 true.
- 不要开启实验性功能
- 不要使用 enableBlinkFeatures
webview标签:不要使用 allowpopupswebview标签:验证选项与参数- 禁用或限制网页跳转
- 禁用或限制新窗口创建
- 不要使用 openExternal 接口打开不信任的第三方