Определить заголовок HTTP CSP в приложении Electron
Следуя документации API, я не понимаю, как определить HTTP-заголовок Content-Security-Policy для рендеринга моего приложения Electron. Я всегда получаю предупреждение в DevTools.
Я старался:
1) Скопируйте/Вставьте код в API Doc, слепо:
app.on('ready', () => {
const {session} = require('electron')
session.defaultSession.webRequest.onHeadersReceived((details, callback) => {
callback({responseHeaders: 'default-src 'self''})
})
win = new BrowserWindow(...)
win.loadUrl(...)
}
(Кстати, я не понимаю, почему в строке отсутствует "Content-Security-Policy:", но добавление ее ничего не меняет)
2) Изменение сеанса рендеринга с тем же кодом:
win = new BrowserWindow(...)
win.loadUrl(...)
const ses = win.webContents.session;
ses.webRequest.onHeadersReceived((details, callback) => {
callback({responseHeaders: 'default-src 'self''})
})
3) Добавьте дополнительный заголовок в средство рендеринга:
win = new BrowserWindow(...)
win.loadURL('file://${__dirname}/renderer.html',{
extraHeaders: 'Content-Security-Policy: default-src 'self''
});
...
Единственное, что работает, - использовать метатег в файле HTML рендеринга:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'>
Ответы
Ответ 1
Не знаете, почему в документации содержится этот сломанный код. Это сбило меня с ума, но я нашел рабочее решение путем проб и ошибок:
session.defaultSession.webRequest.onHeadersReceived((details, callback) => {
callback({ responseHeaders: Object.assign({
"Content-Security-Policy": [ "default-src 'self'" ]
}, details.responseHeaders)});
});
Поэтому аргумент заголовков должен быть объектом с той же структурой, что и исходные заголовки, полученные в details.responseHeaders. И исходные заголовки также должны быть включены в переданный объект, потому что этот объект, по-видимому, полностью заменяет исходные заголовки ответов.
Опция extraHeaders не предназначена для заголовков ответов. Это для заголовков запросов, отправленных на сервер.
Ответ 2
Если вы хотите использовать CSP как в режиме разработки (с ресурсами, загружаемыми по протоколу http://), так и в режиме prod (file:// protocol), то как вы можете это сделать:
Сначала удалите метаданные Content-Security-Policy из src/index.html - нам нужно внедрить ее только для режима prod, потому что
-
onHeadersReceived не будет работать для протокола file://, как подтверждают документы Electron, а также потому, что - если мы сохраним его в
src/index.html для режима Dev, он переопределит onHeadersReceived хотя бы для части ресурсов, а для режима Dev нам потребуются другие настройки.
Затем мы можем добавить его в режим Prod с помощью gulp-inject:
// in project dir
npm install --save-dev gulp-inject gulp
// src/index.html
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<base href="">
<meta name="viewport" content="width=device-width, initial-scale=1">
<!-- inject:prod-headers -->
<!-- src/prod-headers.html content will be injected here -->
<!-- endinject -->
<link rel="icon" type="image/x-icon" href="favicon.ico">
</head>
<body>
<app-root>Loading...</app-root>
</body>
</html>
// src/prod-headers.html
<meta http-equiv="Content-Security-Policy" content="default-src 'self'">
// gulpfile.js
var gulp = require('gulp');
var inject = require('gulp-inject');
gulp.task('insert-prod-headers', function () {
return gulp.src('./dist/index.html')
.pipe(inject(gulp.src('./src/prod-headers.html'), {
starttag: '<!-- inject:prod-headers -->',
transform: function (filePath, file) {
// return file contents as string
return file.contents.toString('utf8')
}
}))
.pipe(gulp.dest('./dist'));
});
Затем убедитесь, что npx gulp insert-prod-headers запущен после того, как, например, ng build сгенерирует dist/index.html.
А для режима dev давайте использовать onHeadersReceived, как в примере с документами Electron:
const args = process.argv.slice(1);
const devMode = args.some((val) => val === '--serve');
app.on('ready', () => {
if (devMode) {
const {session} = require('electron')
session.defaultSession.webRequest.onHeadersReceived((details, callback) => {
callback({responseHeaders: 'default-src http: ws:'})
})
}
win = new BrowserWindow(...)
win.loadUrl(...)
}
Это решение было протестировано на Electron 4.0.3.
Ответ 3
Как указано в электронных документах, вам придется использовать метатег Content Security Policy (CSP) в html файле при загрузке renderer.html по схеме file:// (IIRC вы делаете это в приведенный выше пример).
Если вы хотите условно настроить политику безопасности контента для среды prod и dev, вы можете динамически сгенерировать эту строку внутри html на этапе сборки. Я предлагаю использовать шаблонизатор, например, mustache.js (используется в примере).
Пример (файловые ресурсы)
В моем случае я хотел включить горячую замену модуля (HMR) через веб-сокеты и ресурс file:// в режиме разработки, что требовало ослабления правил CSP (но только в dev!).
index.mustache:
<html>
<head>
<meta
http-equiv="Content-Security-Policy"
content="{{{cspContent}}}"
/>
</head>
...
cspContent.json для разработчика:
{
"cspContent": "default-src 'self'; connect-src 'self' ws:"
}
шаг сборки в dev (для prod можно использовать значения по умолчанию):
npx mustache cspContent.json index.mustache > index.html
Ресурсы URL
Для использования с ресурсами URL, вы можете придерживаться этого примера:
const { session } = require('electron')
session.defaultSession.webRequest.onHeadersReceived((details, callback) => {
callback({
responseHeaders: {
...details.responseHeaders,
'Content-Security-Policy': ['default-src \'none\'']
}
})
})
Убедитесь, что ваши пользовательские заголовки ответов CSP объединены с заголовками по умолчанию - вы не сделаете этого в приведенном выше примере. Здесь вы также можете проверить условия для окружающей среды.
Надеюсь, это поможет.
Ответ 4
В вашем вопросе недостаточно подробностей, чтобы знать, есть ли у вас проблемы с начальной загрузкой или последующими веб-запросами, но моя проблема была связана с начальной загрузкой файла. С приложением Electron, использующим React, я получал предупреждения об использовании встроенных сценариев даже с кодом kayahr. Это связано с тем, что метод onHeadersReceived перехватывает только те запросы, которые были сделаны после первоначальной загрузки приложения. Это не остановит никаких предупреждений от начальной загрузки приложения.
В итоге мне пришлось использовать шаблоны во время сборки приложения, чтобы добавить одноразовый номер во встроенный скрипт и стиль, а также в заголовок CSP в файле HTML, который приложение загружает изначально.
index.html
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'nonce-<%= scriptNonce %>'; style-src 'nonce-<%= styleNonce %>';">
<link rel="stylesheet" type="text/css" href="./index.css" nonce=<%= styleNonce %>>
<title>Basic Electron App</title>
</head>
<body>
<div id="app"></div>
<script type="application/javascript" nonce=<%= scriptNonce %>>
require('./index.js');
</script>
</body>
</html>
index.css
body {
margin: 0px;
}
.hello {
font-family: "Century Gothic";
width: 800px;
margin: 70px auto;
text-align: center;
}
и в gulfile.js добавьте следующее к тому, что у вас уже есть, и убедитесь, что эта задача включена в ваш конвейер. Вы также можете просто обновить текущую задачу HTML с помощью приведенного ниже кода.
const template = require('gulp-template');
const uuidv4 = require('uuid/v4');
gulp.task('copy-html', () => {
// Create nonces during the build and pass them to the template for use with inline scripts and styles
const nonceData = {
scriptNonce: new Buffer(uuidv4()).toString('base64'),
styleNonce: new Buffer(uuidv4()).toString('base64')
};
return gulp.src('src/*.html')
.pipe(template(nonceData))
.pipe(gulp.dest('dist/'));
});
Это очень урезанный пример. У меня есть более полный пример на https://github.com/NFabrizio/data-entry-electron-app, если кому-то интересно, хотя есть еще одно предупреждение при запуске приложения, потому что один из пакетов, которые я использую, тянет в response-beautiful-dnd, который добавляет встроенные стили, но в настоящее время не принимает одноразовые.
Ответ 5
Установите следующий метатег в средствах визуализации.
<meta http-equiv="Content-Security-Policy" content="script-src 'nonce-xxx or sha256-yyy' " />
Пожалуйста, ознакомьтесь с моим репозиторием на github electronic-renderer-CSP-sample, содержащим образцы как для nonce, так и для Методы SHA для внутреннего & внешние js файлы.
