Thinktecture Cloud-Native- und Infrastructure-as-Code-Spezialist Thorsten Hans erklärt in einer fünfteiligen Screencast-Serie das Framework Electron. Nachdem er bereits in die Grundlagen und Architektur, Developer-Essentials und die UX-Optimierung einführte, geht es im vierten Teil um die Verbesserung der Sicherheit einer Electron-Anwendung.
Inhalte des Screencasts
- Content Security Policies: In Electron können Sie über Content Security Policies (CSPs) beispielsweise kontrollieren, ob und in welcher Art der Renderer-Prozess JavaScript-Dateien lädt. Durch die explizite Definition von vertrauenswürdigen Quellen können Sie Angriffsvektoren, wie Cross Site Scripting (XSS), minimieren.
- Node.js Integration deaktivieren: In Electron haben Sie die Möglichkeit den Zugriff auf Node.js-Schnittstellen für den Runderer-Prozess zu unterbinden, wodurch sichergestellt werden kann, dass Code aus dem Client (in Form von JavaScript) nicht über privilegierte APIs mit Betriebssystem-Schnittstellen kommunizieren kann.
- Fachliche APIs für den Renderer-Prozess: Mit deaktivierter Node.js Integration minimieren sich die Möglichkeiten Ihrer Electron Anwendung. Code aus dem Renderer-Prozess kann nich mehr mit dem Main-Prozess kommunizieren. Über explizit definierte, fachliche APIs können Sie dem Renderer-Prozess Zugriff auf notwendige Funktionen im Main-Prozess geben. Sie minimieren dadurch Angriffsvektoren, und definieren klare Kommunikationswege.
Cheat Sheet: Electron, Cordova, PWA – was, wann, wie und warum?
Christian Liebel hat zum Thema Electron, Cordova und PWA ein Cheat Sheet erstellt, in dem er die verschiedenen Technologien kurz beschreibt, Vor- und Nachteile der Ansätze aufzeigt und damit Entscheidungshilfen bietet, wann Entwickler zu welchen Ansätzen greifen sollten.
Melden Sie sich kostenlos zu unserem Newsletter an, um das Cheat Sheet per E-Mail zu erhalten.
Im letzten Teil geht es darum, wie Sie Anwendungen mit dem electron-packager paketieren. Wenn Sie die weiteren Screencasts nicht verpassen möchten, melden Sie sich hier für unsere monatlichen Tech News an.