Electron曝XSS 漏洞,Atom、VS Code 等受影響
知識
05-17
Electron 本質上是一個 Web 應用程序,這意味著它也需要正確過濾用戶的輸入,否則很容易受到跨站腳本攻擊。據分析,通過將 nodeIntegration 設置成 true,Electron 不僅可以訪問自己的 API,還可以訪問到其它內置 Node.js 模塊,在WebView標籤和 window.open() 函數的默認作用下,使得攻擊者可以執行一些危害操作,例如在 child_process 模塊中發起請求,從而在客戶端執行系統命令。
※八大技巧,提升Web前端性能
※webpack 開發者:我當初為什麼寫webpack
TAG:JavaScript |