Inhalte des Screencasts
- Content Security Policies: In Electron können Sie über Content Security Policies (CSPs) beispielsweise kontrollieren, ob und in welcher Art der Renderer-Prozess JavaScript-Dateien lädt. Durch die explizite Definition von vertrauenswürdigen Quellen können Sie Angriffsvektoren, wie Cross Site Scripting (XSS), minimieren.
- Node.js Integration deaktivieren: In Electron haben Sie die Möglichkeit den Zugriff auf Node.js-Schnittstellen für den Runderer-Prozess zu unterbinden, wodurch sichergestellt werden kann, dass Code aus dem Client (in Form von JavaScript) nicht über privilegierte APIs mit Betriebssystem-Schnittstellen kommunizieren kann.
- Fachliche APIs für den Renderer-Prozess: Mit deaktivierter Node.js Integration minimieren sich die Möglichkeiten Ihrer Electron Anwendung. Code aus dem Renderer-Prozess kann nich mehr mit dem Main-Prozess kommunizieren. Über explizit definierte, fachliche APIs können Sie dem Renderer-Prozess Zugriff auf notwendige Funktionen im Main-Prozess geben. Sie minimieren dadurch Angriffsvektoren, und definieren klare Kommunikationswege.