使用Electron打造跨平台桌面应用

image.png


文章目录



前言

早期桌面应用的开发主要借助原生 C/C++ API 进行,由于需要反复经历编译过程,且无法分离界面 UI 与业务代码,开发调试极为不便。后期出现的 QT 和 WPF 在一定程度上解决了界面代码分离和跨平台的问题,却依然无法避免较长时间的编译过程。近几年伴随互联网行业的迅猛发展,尤其是 NodeJS、Chromium 这类基于 W3C 标准开源应用的不断涌现,原生代码与 Web 浏览器开发逐步走向融合,Electron 正是在这种背景下诞生的。


electron

Electron 是由 Github 开发,通过将Chromium和NodeJS整合为一个运行时环境,实现使用 HTML、CSS、JavaScript 构建跨平台的桌面应用程序的目的。Electron 源于 2013 年 Github 社区提供的开源编辑器 Atom,后于 2014 年在社区开源,并在 2016 年的 5 月和 8 月,通过了Mac App Store和Windows Store的上架许可,VSCode、Skype 等著名开源或商业应用程序,都是基于 Electron 打造。为了方便编写测试用例,笔者在 Github 搭建了一个简单的 Electron 种子项目Octopus,读者可以基于此来运行本文涉及的示例代码。


Getting Start

首先,让我们通过npm init和git init新建一个项目,然后通过如下npm语句安装最新的 Electron 稳定版。

npm i -D electron@latest

然后向项目目录下的package.json文件添加一条scripts语句,便于后面通过npm start命令启动 Electron 应用。

{
  // ... ...
  "author": "Hank",
  "main": "resource/main.js",
  "scripts": {
    "start": "electron ."
  },
  "devDependencies": {
    "electron": "^3.0.7"
  }
}

然后在项目根目录下新建resource文件夹,里面分别再建立index.html和main.js两个文件,最终形成如下的项目结构:

electron-demo
├── node_modules
├── package.json
├── package-lock.json
├── README.md
└── resource
    ├── index.html
    └── main.js

main.js是 Electron 应用程序的主入口点,当在命令行运行这段程序的时候,就会启动一个 Electron 的主进程,主进程当中可以通过代码打开指定的 Web 页面去展示 UI。

/** main.js */
const { app, BrowserWindow } = require("electron");

let mainWindow;

app.on("ready", () => {
  mainWindow = new BrowserWindow({ width: 800, height: 500 });

  mainWindow.setMenu(null);

  // mainWindow.loadFile("index.html"); // 隐藏Chromium菜单
  // mainWindow.webContents.openDevTools() // 开启调试模式

  mainWindow.on("closed", () => {
    mainWindow = null;
  });
});

app.on("window-all-closed", () => {
  /* 在Mac系统用户通过Cmd+Q显式退出之前,保持应用程序和菜单栏处于激活状态。*/
  if (process.platform !== "darwin") {
    app.quit();
  }
});

app.on("activate", () => {
  /* 当dock图标被点击并且不会有其它窗口被打开的时候,在Mac系统上重新建立一个应用内的window。*/
  if (mainWindow === null) {
    createWindow();
  }
});

Web 页面index.html运行在自己的渲染进程当中,但是能够通过 NodeJS 提供的 API 去访问操作系统的原生资源(例如下面代码中的process.versions语句),这正是 Electron 能够跨平台执行的原因所在。

<!DOCTYPE html>
<html>
  <head>
    <meta charset="UTF-8" />
    <title>Hello Electron</title>
  </head>
  <body>
    <h1>你好,Electron!</h1>
    <!-- 所有NodeJS可用的API都可以通过renderer.js的process属性访问 -->
    <h2>
      当前Electron版本:
      <script>
        document.write(process.versions.electron);
      </script>
    </h2>
    <h2>
      当前NodeJS版本:<script>
        document.write(process.versions.node);
      </script>
    </h2>
    <h2>
      当前Chromium版本:
      <script>
        document.write(process.versions.chrome);
      </script>
    </h2>
    <script>
      // 这里也可以包含运行在当前进程里的其它文件
      require("./renderer.js");
    </script>
  </body>
</html>

使用命令行工具执行npm start命令之后,上述 HTML 代码在笔者 Linux 操作系统内被渲染为如下界面。应用当中,可以通过CTRL+R重新加载页面,或者使用CTRL+SHIFT+I打开浏览器控制台。
image.png
一个 Electron 应用的主进程只会有一个,渲染进程则会有多个。


主进程与渲染进程

  • 主进程(main process)管理所有的 web 页面以及相应的渲染进程,它通过BrowserWindow来创建视图页面。
  • 渲染进程(renderer processes)用来运行页面,每个渲染进程都对应自己的BrowserWindow实例,如果实例被销毁那么渲染进程就会被终止。
    image.png
    Electron 分别在主进程和渲染进程提供了大量 API,可以通过require语句方便的将这些 API 包含在当前模块使用。但是 Electron 提供的 API 只能用于指定进程类型,即某些 API 只能用于渲染进程,而某些只能用于主进程,例如上面提到的BrowserWindow就只能用于主进程。
const { BrowserWindow } = require("electron");

ccc = new BrowserWindow();

Electron 通过remote模块暴露一些主进程的 API,如果需要在渲染进程中创建一个BrowserWindow实例,那么就可以借助这个remote模块:

const { remote } = require("electron"); // 获取remote模块
const { BrowserWindow } = remote; // 从remote当中获取BrowserWindow

const browserWindow = new BrowserWindow(); // 实例化获取的BrowserWindow

Electron 可以使用所有 NodeJS 上提供的 API,同样只需要简单的require一下。

const fs = require("fs");

const root = fs.readdirSync("/");

当然,NodeJS 上数以万计的 npm 包也同样在 Electron 可用,当然,如果是涉及到底层 C/C++的模块还需要单独进行编译,虽然这样的模块在 npm 仓库里并不多。

const S3 = require("aws-sdk/clients/s3");

既然 Electron 本质是一个浏览器 + 跨平台中间件的组合,因此常用的前端调试技术也适用于 Electron,这里可以通过CTRL+SHIFT+I手动开启 Chromium 的调试控制台,或者通过下面代码在开发模式下自动打开:

mainWindow.webContents.openDevTools(); // 开启调试模式

核心模块

本节将对require("electron")所获取的模块进行概述,便于后期进行分类查找

#app 模块
Electron 提供的app模块即提供了可用于区分开发和生产环境的app.isPackaged属性,也提供了关闭窗口的app.quit()和用于退出程序的app.exit()方法,以及window-all-closed和ready等 Electron 程序事件。

const { app } = require("electron");
app.on("window-all-closed", () => {
 app.quit(); // 当所有窗口关闭时退出应用程序
});

可以使用app.getLocale()获取当前操作系统的国际化信息


BrowserWindow 模块

工作在主进程,用于创建和控制浏览器窗口。

// 主进程中使用如下方式获取。
const { BrowserWindow } = require("electron");

// 渲染进程中可以使用remote属性获取。
const { BrowserWindow } = require("electron").remote;

let window = new BrowserWindow({ width: 800, height: 600 });
window.on("closed", () => {
  win = null;
});

// 加载远程URL
window.loadURL("https://uinika.github.io/");

// 加载本地HTML
window.loadURL(`file://${__dirname}/app/index.html`);

例如需要创建一个无边框窗口的 Electron 应用程序,只需将BrowserWindow配置对象中的frame属性设置为false即可:

 const { BrowserWindow } = require("electron");
let window = new BrowserWindow({ width: 800, height: 600, frame: false });
window.show();

例如加载页面时,渲染进程第一次完成绘制时BrowserWindow会发出ready-to-show事件

const { BrowserWindow } = require("electron");
let win = new BrowserWindow({ show: false });
win.once("ready-to-show", () => {
  win.show();
});

对于较为复杂的应用程序,ready-to-show事件的发出可能较晚,会让应用程序的打开显得缓慢。 这种情况下,建议通过backgroundColor属性设置接近应用程序背景色的方式显示窗口,从而获取更佳的用户体验。

const { BrowserWindow } = require("electron");

let window = new BrowserWindow({ backgroundColor: "#272822" });
window.loadURL("https://uinika.github.io/");

如果想要创建子窗口,那么可以使用parent选项,此时子窗口将总是显示在父窗口的顶部

const { BrowserWindow } = require("electron");

let top = new BrowserWindow();
let child = new BrowserWindow({ parent: top });

child.show();
top.show();

创建子窗口时,如果需要禁用父窗口,那么可以同时设置modal选项。

const { BrowserWindow } = require("electron");

let child = new BrowserWindow({ parent: top, modal: true, show: false });

child.loadURL("https://uinika.github.io/");
child.once("ready-to-show", () => {
  child.show();
});

globalShortcut 模块

使用globalShortcut模块中的register()方法注册快捷键。

const { app, globalShortcut } = require("electron");

app.on("ready", () => {
  // 注册一个快捷键监听器。
  globalShortcut.register("CommandOrControl+Y", () => {
    // 当按下Control +Y键时触发该回调函数。
  });
});

Linux 和 Windows 上【Command】键会失效, 所以要使用 CommandOrControl(既 MacOS 上是【Command】键 ,Linux 和 Windows 上是【Control】键)。


clipboard 模块

用于在系统剪贴板上执行复制和粘贴操作,包含有readText()、writeText()、readHTML()、writeHTML()、readImage()、writeImage()等方法。

const { clipboard } = require("electron");
clipboard.writeText("一些字符串内容");

globalShortcut 模块

用于在 Electron 应用程序失去键盘焦点时监听全局键盘事件,即在操作系统中注册或注销全局快捷键。

 const { app, globalShortcut } = require("electron");

app.on("ready", () => {
  // 注册全局快捷键
  const regist = globalShortcut.register("CommandOrControl+A", () => {
    console.log("快捷键被摁下!");
  });

  if (!regist) {
    console.log("注册失败!");
  }
  // 检查快捷键是否注册成功
  console.log(globalShortcut.isRegistered("CommandOrControl+A"));
});

app.on("will-quit", () => {
  // 注销快捷键
  globalShortcut.unregister("CommandOrControl+A");
  // 清空所有快捷键
  globalShortcut.unregisterAll();
});


ipcMain 与 ipcRenderer 模块

用于主进程到渲染进程的异步通信,下面是一个主进程与渲染进程之间发送和处理消息的例子

 // 主进程
const { ipcMain } = require("electron");
ipcMain.on("asynchronous-message", (event, arg) => {
  console.log(arg); // 打印 "ping"
  event.sender.send("asynchronous-reply", "pong");
});

ipcMain.on("synchronous-message", (event, arg) => {
  console.log(arg); // 打印 "ping"
  event.returnValue = "pong";
});

//渲染器进程,即网页
const { ipcRenderer } = require("electron");
console.log(ipcRenderer.sendSync("synchronous-message", "ping")); // 打印 "pong"

ipcRenderer.on("asynchronous-reply", (event, arg) => {
  console.log(arg); // 打印 "pong"
});
ipcRenderer.send("asynchronous-message", "ping");

如果需要完成渲染器进程到主进程的异步通信,可以选择使用ipcRenderer对象。


Menu 与 MenuItem 模块

用于主进程,用于创建原生应用菜单和上下文菜单。

const { app, BrowserWindow, Menu } = require("electron");

let mainWindow;

const template = [
  {
    label: "自定义菜单",
    submenu: [{ label: "菜单项-1" }, { label: "菜单项-2" }]
  }
];

app.on("ready", () => {
  mainWindow = new BrowserWindow({ width: 800, height: 500 });
  mainWindow.setMenu(Menu.buildFromTemplate(template));
  mainWindow.loadFile("resource/index.html");
});

使用MenuItem类可以添加菜单项至 Electron 应用程序菜单和上下文菜单当中。
image.png


netLog 模块

用于记录网络日志。

const { netLog } = require("electron");

netLog.startLogging("/user/log.info");
/** 一些网络事件发生之后 */
netLog.stopLogging(path => {
 console.log("网络日志log.info保存在", path);
});

powerMonitor 模块

通过 Electron 提供的powerMonitor模块监视当前电脑电源状态的改变,值得注意的是,在app模块的ready事件被触发之前, 不能引用或使用该模块。

const electron = require("electron");
const { app } = electron;

app.on("ready", () => {
  electron.powerMonitor.on("suspend", () => {
    console.log("系统将要休眠了!");
  });
});

powerSaveBlocker 模块

阻止操作系统进入低功耗 (休眠) 模式。

const { powerSaveBlocker } = require("electron");

const ID = powerSaveBlocker.start("prevent-display-sleep");
console.log(powerSaveBlocker.isStarted(ID));

powerSaveBlocker.stop(ID);

protocol 模块

注册自定义协议并拦截基于现有协议的请求,例如下面代码实现了一个与[file://]协议等效的示例:

const { app, protocol } = require("electron");
const path = require("path");

app.on("ready", () => {
  protocol.registerFileProtocol(
    "uinika",
    (request, callback) => {
      const url = request.url.substr(7);
      callback({ path: path.normalize(`${__dirname}/${url}`) });
    },
    error => {
      if (error) console.error("协议注册失败!");
    }
  );
});

net 模块

net模块是一个发送 HTTP(S) 请求的客户端 API,类似于 NodeJS 的 HTTP 和 HTTPS 模块 ,但底层使用的是 Chromium 原生网络库。

const { app } = require("electron");

app.on("ready", () => {
  const { net } = require("electron");
  const request = net.request("https://zhihu.com/people/uinika/activities");

  request.on("response", response => {
    console.log(`STATUS: ${response.statusCode}`);
    console.log(`HEADERS: ${JSON.stringify(response.headers)}`);

    response.on("data", chunk => {
      console.log(`BODY: ${chunk}`);
    });

    response.on("end", () => {
      console.log("没有更多数据!");
    });
  });

  request.end();
});

Electron 中提供的ClientRequest类用来发起 HTTP/HTTPS 请求,IncomingMessage类则用于响应 HTTP/HTTPS 请求。


remote 模块

remote模块返回的每个对象都表示主进程中的一个对象,调用这个对象实质是在发送同步进程消息。因为 Electron 当中 GUI 相关的模块 (如 dialog、menu 等) 仅在主进程中可用, 在渲染进程中不可用,所以remote模块提供了一种渲染进程(Web 页面)与主进程(IPC)通信的简单方法。remote 模块包含了一个remote.require(module)

  • remote.process:主进程中的process对象,与remote.getGlobal("process")作用相同, 但结果已经被缓存。
  • remote.getCurrentWindow():返回BrowserWindow,即该网页所属的窗口。
  • remote.getCurrentWebContents():返回WebContents,即该网页的 Web 内容
  • remote.getGlobal(name):该方法返回主进程中名为name的全局变量。
  • remote.require(module):返回主进程内执行require(module)时返回的对象,参数module指定的模块相对路径将会相对于主进程入口点进行解析。
project/
├── main
│   ├── helper.js
│   └── index.js
├── package.json
└── renderer
    └── index.js

remote模块提供的主进程与渲染进程通信方法比ipcMain/ipcRenderer更加易于使用。

// 主进程: main/index.js
const { app } = require("electron");
app.on("ready", () => {
  /* ... */
});

// 主进程关联的模块: main/test.js
module.exports = "This is a test!";

// 渲染进程: renderer/index.js
const helper = require("electron").remote.require("./helper"); // This is a test!

screen 模块

检索有关屏幕大小、显示器、光标位置等信息,应用的ready事件触发之前,不能使用该模块。下面的示例代码,创建了一个可以自动全屏窗口的应用:

const electron = require("electron");
const { app, BrowserWindow } = electron;

let window;

app.on("ready", () => {
  const { width, height } = electron.screen.getPrimaryDisplay().workAreaSize;
  window = new BrowserWindow({ width, height });
  window.loadURL("https://github.com");
});

shell 模块

提供与桌面集成相关的功能,例如可以通过调用操作系统默认的应用程序管理文件或Url

const { shell } = require("electron");

shell.openExternal("https://github.com");

systemPreferences 模块

获取操作系统特定的偏好信息,例如在 Mac 下可以通过下面代码获取当前是否开启系统 Dark 模式的信息。

const { systemPreferences } = require("electron");
console.log(systemPreferences.isDarkMode()); // 返回一个布尔值。

Tray 模块

用于主进程,添加图标和上下文菜单至操作系统通知区域

const { app, Menu, Tray } = require("electron");

let tray = null;

app.on("ready", () => {
  tray = new Tray("/images/icon");
  const contextMenu = Menu.buildFromTemplate([{ label: "Item1", type: "radio" }, { label: "Item2", type: "radio" }, { label: "Item3", type: "radio", checked: true }, { label: "Item4", type: "radio" }]);
  tray.setToolTip("This is my application.");
  tray.setContextMenu(contextMenu);
});

webFrame 模块

定义当前网页渲染的一些属性,比如缩放比例、缩放等级、设置拼写检查、执行 JavaScript 脚本等等。

const { webFrame } = require("electron");
webFrame.setZoomFactor(5);

session 模块

Electron 的session模块可以创建新的session对象,主要用来管理浏览器会话、cookie、缓存、代理设置等等。

如果需要访问现有页面的session,那么可以通过BrowserWindow对象的webContents的session属性来获取。

const { BrowserWindow } = require("electron");

let window = new BrowserWindow({ width: 600, height: 900 });
window.loadURL("https://uinika.github.io/web/server/electron.html");

const mySession = window.webContents.session;
console.log(mySession.getUserAgent());

Electron 里也可以通过session模块的cookies属性来访问浏览器的 Cookie 实例

const { session } = require("electron");

// 查询所有cookies。
session.defaultSession.cookies.get({}, (error, cookies) => {
  console.log(error, cookies);
});

// 查询当前URL下的所有cookies。
session.defaultSession.cookies.get({ url: "http://www.github.com" }, (error, cookies) => {
  console.log(error, cookies);
});

// 设置cookie
const cookie = { url: "https://www.zhihu.com/people/uinika/posts", name: "hank", value: "zhihu" };
session.defaultSession.cookies.set(cookie, error => {
  if (error) console.error(error);
});

使用Session的WebRequest属性可以访问WebRequest类的实例,WebRequest类可以在 HTTP 请求生命周期的不同阶段修改相关内容,例如下面代码为 HTTP 请求添加了一个User-Agent协议头:

const { session } = require("electron");

// 发送至下面URL地址的请求将会被添加User-Agent协议头
const filter = {
  urls: ["https://*.github.com/*", "*://electron.github.io"]
};

session.defaultSession.webRequest.onBeforeSendHeaders(filter, (details, callback) => {
  details.requestHeaders["User-Agent"] = "MyAgent";
  callback({ cancel: false, requestHeaders: details.requestHeaders });
});

desktopCapturer 模块

用于捕获桌面窗口里的内容,该模块只拥有一个方法:desktopCapturer.getSources(options, callback)。

  1. options 对象
  • types:字符串数组,列出需要捕获的桌面类型是screen还是window。
  • thumbnailSize:媒体源缩略图的大小,默认为150x150。
  • callback 回调函数,拥有如下 2 个参数:
  • error:错误信息。
  • sources:捕获的资源数组。

如下代码工作在渲染进程当中,作用是将桌面窗口捕获为视频:

const { desktopCapturer } = require("electron");

desktopCapturer.getSources({ types: ["window", "screen"] }, (error, sources) => {
  if (error) throw error;
  for (let i = 0; i < sources.length; ++i) {
    if (sources[i].name === "Electron") {
      navigator.mediaDevices
        .getUserMedia({
          audio: false,
          video: {
            mandatory: {
              chromeMediaSource: "desktop",
              chromeMediaSourceId: sources[i].id,
              minWidth: 1280,
              maxWidth: 1280,
              minHeight: 800,
              maxHeight: 800
            }
          }
        })
        .then(stream => handleStream(stream))
        .catch(error => handleError(error));
      return;
    }
  }
});

function handleStream(stream) {
  const video = document.querySelector("video");
  video.srcObject = stream;
  video.onloadedmetadata = error => video.play();
}

function handleError(error) {
  console.log(error);
}

dialog 模块

调用操作系统原生的对话框,工作在主线程,下面示例展示了一个用于选择多个文件和目录的对话框:

const { dialog } = require("electron");
console.log(dialog.showOpenDialog({ properties: ["openFile", "openDirectory", "multiSelections"] }));

由于对话框工作在 Electron 的主线程上,如果需要在渲染器进程中使用, 那么可以通过remote来获得:

const { dialog } = require("electron").remote;
console.log(dialog);

contentTracing 模块

从 Chromium 收集跟踪数据,从而查找性能瓶颈。使用后需要在浏览器打开chrome://tracing/页面,然后加载生成的文件查看结果。

const { app, contentTracing } = require("electron");

app.on("ready", () => {
  const options = {
    categoryFilter: "*",
    traceOptions: "record-until-full,enable-sampling"
  };

  contentTracing.startRecording(options, () => {
    console.log("开始跟踪!");

    setTimeout(() => {
      contentTracing.stopRecording("", path => {
        console.log("跟踪数据已经记录至" + path);
      });
    }, 8000);
  });
});

webview 标签

Electron 的 webview 标签基于 Chromium,由于开发变动较大官方并不建议使用,而应考虑 iframe 或者 Electron 的BrowserView等选择,或者完全避免在页面进行内容嵌入。

webview 与 iframe 最大不同是运行于不同的进程当中,Electron 应用程序与嵌入内容之间的所有交互都是异步进行的,这样可以保证应用程序与嵌入内容双方的安全。

<webview id="uinika" src="http://localhost:5000/web/server/electron.html"></webview>

webContents 属性

webContents是BrowserWindow对象的一个属性,负责渲染和控制 Web 页面。

const { BrowserWindow } = require("electron");

let window = new BrowserWindow({ width: 600, height: 500 });
window.loadURL("https://yijiebuyi.com");

let contents = window.webContents;
console.log(contents);

window.open() 函数

该函数用于打开一个新窗口并加载指定url,调用后将会为该url创建一个BrowserWindow实例,并返回一个BrowserWindowProxy对象,但是该对象只能对打开的url页面进行有限的控制。正常情况下,如果希望完全控制新窗口,可以直接创建一个新的BrowserWindow

// window.open(url[, frameName][, features])
window.open("https://github.com", "_blank", "nodeIntegration=no");

BrowserWindowProxy对象拥有如下属性和方法:

  • win.closed:子窗口关闭后设置为true的布尔属性。
  • win.blur():将焦点从子窗口中移除。
  • win.close():强制关闭子窗口, 而不调用其卸载事件。
  • win.eval(code):code字符串,需要在子窗口 Eval 的代码。
  • win.focus():聚焦子窗口(即将子窗口置顶)。
  • win.print():调用子窗口的打印对话框。
  • win.postMessage(message, targetOrigin):向子窗口发送信息。

Electron 进程

Electron 的process对象继承自 NodeJS 的process对象,但是新增了一些有用的事件、属性、方法。

const { app, BrowserWindow } = require("electron");

let mainWindow;

app.on("ready", () => {
  mainWindow = new BrowserWindow({ width: 800, height: 500, frame: false });
  mainWindow.loadFile("resource/index.html");

  console.log(process.type); // 当前进程类型是browser主进程还是renderer渲染进程,browser
  console.log(process.versions.node); // NodeJS版本,10.2.0
  console.log(process.versions.chrome); // Chrome版本,66.0.3359.181
  console.log(process.versions.electron); //Electron版本,3.0.13
  console.log(process.resourcesPath); // 资源目录路径,D:\Workspace\octopus\node_modules\electron\dist\resources
});

沙箱机制

Chromium 通过将 Web 前端代码放置在一个与操作系统隔离的沙箱中运行,从而保证恶意代码不会侵犯到操作系统本身。但是 Electron 中渲染进程可以调用 NodeJS,而 NodeJS 又需要涉及大量操作系统调用,因而沙箱机制默认是禁用的。

某些应用场景下,需要运行一些不确定安全性的外部前端代码,为了保证操作系统安全,可能需要开启沙箱机制。此时首先在创建BrowserWindow时传入sandbox属性,然后在命令行添加--enable-sandbox参数传递给 Electron 即可完成开启。

let win;
app.on("ready", () => {
  window = new BrowserWindow({
    webPreferences: {
      sandbox: true
    }
  });
  window.loadURL("http://google.com");
});

使用sandbox选项之后,将会阻止 Electron 在渲染器中创建一个 NodeJS 运行时环境,此时新窗口中的window.open() 将按照浏览器原生的方式工作。


MacBook TouchBar 支持

针对 Mac 笔记本电脑上配置的 TouchBar 硬件,Electron 提供了一系列相关的类与操作接口:TouchBar、TouchBarButton、TouchBarColorPicker、TouchBarGroup、TouchBarLabel、TouchBarPopover、TouchBarScrubber、TouchBarSegmentedControl、TouchBarSlider、TouchBarSpacer


创建应用图标

用于将 PNG 或 JPG 图片设置为托盘、Dock 和应用程序的图标

const { BrowserWindow, Tray } = require("electron");

const Icon = new Tray("/images/icon.png");

let window = new BrowserWindow({ icon: "/images/window.png" });

安全原则

由于 Electron 的发布通常落后最新版本 Chromium 几周甚至几个月,因此特别需要注意如下这些安全性问题:


使用安全的协议加载外部内容

外部资源尽量使用更安全的协议加载,比如HTTP换成HTTPS、WS换成WSS、FTP换成FTPS等。

<!-- 错误 -->
<script crossorigin src="http://cdn.com/react.js"></script>
<link rel="stylesheet" href="http://cdn.com/scss.css" />

<!-- 正确 -->
<script crossorigin src="https://cdn.com/react.js"></script>
<link rel="stylesheet" href="https://cdn.com/scss.css" />

<script>
  browserWindow.loadURL("http://uinika.github.io/); // 错误
  browserWindow.loadURL("https://uinika.github.io/"); // 正确
</script>

加载外部内容时禁用 NodeJS 集成

使用BrowserWindow、BrowserView、webview 加载远程内容时,都需要通过禁用 NodeJS 集成去限制远程代码的执行权限,避免恶意代码跨站攻击。

<!-- 错误 -->
<webview nodeIntegration src="page.html"></webview>

<!-- 正确 -->
<webview src="page.html"></webview>

<script>
  /** 错误 */
  const mainWindow = new BrowserWindow();
  mainWindow.loadURL("https://yijiebuyi.com");

  /** 正确 */
  const mainWindow = new BrowserWindow({
    webPreferences: {
      nodeIntegration: false,
      preload: "./preload.js"
    }
  });
</script>

对于需要与远程代码共享的变量或函数,可以通过将其挂载至当前页面的window全局对象来实现。


渲染进程中启用上下文隔离

上下文隔离是 Electron 提供的试验特性,通过为远程加载的代码创造一个全新上下文环境,避免与主进程中的代码出现冲突或者相互污染

// 主进程
const mainWindow = new BrowserWindow({
  webPreferences: {
    contextIsolation: true,
    preload: "preload.js"
  }
});

处理远程内容中的会话许可

当页面尝试使用某个特性时,会弹出通知让用户手动进行确认;而默认情况下,Electron 会自动批准所有的许可请求

const { session } = require("electron");

session.fromPartition("some-partition").setPermissionRequestHandler((webContents, permission, callback) => {
  const url = webContents.getURL();

  if (permission === "notifications") {
    callback(true); // 通过许可请求
  }

  if (!url.startsWith("https://my-website.com")) {
    return callback(false); // 拒绝许可请求
  }
});

不要禁用 webSecurity

在渲染进程禁用webSecurity将导致许多重要的安全性功能被关闭,因此 Electron 默认开启

const mainWindow = new BrowserWindow({
  webPreferences: {
    webSecurity: false // 错误的做法,缺省该属性使用默认值即可。
  }
});

定义 CSP 安全策略

内容安全策略 CSP 允许 Electron 通过webRequest对指定 URL 的访问进行约束,例如允许加载https://yijiebuyi.com这个源,那么https://hack.attacker.com将不会被允许加载,CSP 是处理跨站脚本攻击、数据注入攻击的另外一层保护措施

const { session } = require("electron");

session.defaultSession.webRequest.onHeadersReceived((details, callback) => {
  callback({
    responseHeaders: {
      ...details.responseHeaders,
      "Content-Security-Policy": ["default-src 'none'"]
    }
  });
});

使用file://协议打开本地文件时,可以通过元数据标签的属性来添加 CSP 约束

<meta http-equiv="Content-Security-Policy" content="default-src 'none'" />

别设置 allowRunningInsecureContent 为 true

Electron 默认不允许在 HTTPS 页面中加载 HTTP 来源的代码,如果将allowRunningInsecureContent属性设置为true会禁用这种保护

const mainWindow = new BrowserWindow({
  webPreferences: {
    allowRunningInsecureContent: true // 错误的做法,缺省该属性使用默认值即可。
  }
});

不要开启实验性功能

开发人员可以通过experimentalFeatures属性启用未经严格测试的 Chromium 实验性功能,不过 Electron 官方出于稳定性和安全性考虑并不建议这样做

const mainWindow = new BrowserWindow({
  webPreferences: {
    experimentalFeatures: true // 错误的做法,缺省该属性使用默认值即可。
  }
});

不要使用 enableBlinkFeatures

Blink 是 Chromium 内置的 HTML/CSS 渲染引擎,开发者可以通过enableBlinkFeatures启用其某些默认是禁用的特性。

const mainWindow = new BrowserWindow({
  webPreferences: {
    enableBlinkFeatures: ["ExecCommandInJavaScript"] // 错误的做法,缺省该属性使用默认值即可。
  }
});

禁用 webview 的 allowpopups

开启allowpopups属性将使window.open()创建一个新的窗口和BrowserWindows,若非必要状况,尽量不要使用此属性。

<!-- 错误 -->
<webview allowpopups src="page.html"></webview>

<!-- 正确 -->
<webview src="page.html"></webview>

验证 webview 选项与参数

通过渲染进程创建的 WebView 默认不集成 NodeJS,但是它可以通过webPreferences属性创建出一个独立的渲染进程。在WebView标签开始渲染之前,Electron 将会触发一个will-attach-webview事件,可以通过该事件防止创建具有潜在不安全选项的 Web 视图

app.on("web-contents-created", (event, contents) => {
  contents.on("will-attach-webview", (event, webPreferences, params) => {
    // 如果未使用或者验证位置合法,那么将会剥离预加载脚本。
    delete webPreferences.preload;
    delete webPreferences.preloadURL;

    // 禁用NodeJS集成。
    webPreferences.nodeIntegration = false;

    // 验证正在加载的URL。
    if (!params.src.startsWith("https://yijiebuyi.com")) {
      event.preventDefault();
    }
  });
});

禁用或限制网页跳转

如果 Electron 应用程序不需要导航或只需导航至特定页面,最佳实践是将导航限制在已知范围,并禁止其它类型的导航。可以通过在will- navigation事件处理函数中调用event.preventDefault()并添加额外的判断来实现这一点


const URL = require("url").URL;

app.on("web-contents-created", (event, contents) => {
  contents.on("will-navigate", (event, navigationUrl) => {
    const parsedUrl = new URL(navigationUrl);

    if (parsedUrl.origin !== "https://www.zhihu.com/people/uinika/posts") {
      event.preventDefault();
    }
  });
});


禁用或限制新窗口创建

限制在 Electron 应用程序中创建额外窗口,并避免因此带来额外的安全隐患。webContents创建新窗口时会触发一个web-contents-created事件,该事件包含了将要打开的 URL 以及相关选项,可以在这个事件中检查窗口的创建,从而对其进行相应的限制

const { shell } = require("electron");

app.on("web-contents-created", (event, contents) => {
  contents.on("new-window", (event, navigationUrl) => {
    // 通知操作系统在默认浏览器上打开URL
    event.preventDefault();
    shell.openExternal(navigationUrl);
  });
});

Electron 2.0 版本开始,会在可执行文件名为 Electron 时会为开发者在控制台显示安全相关的警告和建议,开发人员也可以在process.env或window对象上配置ELECTRON_ENABLE_SECURITY_WARNINGS或ELECTRON_DISABLE_SECURITY_WARNINGS手动开启或关闭这些警告。


应用发布

Electron 的发布有别于传统桌面应用程序编译打包的发部过程,需要首先下载已经预编译完成的二进制包,Linux 下二进制包结构如下:

➜  electron-v3.0.7-linux-x64 tree -L 2
.
├── blink_image_resources_200_percent.pak
├── content_resources_200_percent.pak
├── content_shell.pak
├── electron
├── icudtl.dat
├── libffmpeg.so
├── libnode.so
├── LICENSE
├── LICENSES.chromium.html
├── locales
├── natives_blob.bin
├── ui_resources_200_percent.pak
├── v8_context_snapshot.bin
├── version
└── views_resources_200_percent.pak
└── resources
   ├── default_app.asar
   └── electron.asar

接下来,就可以部署前面编写的源代码,Electron 里主要有如下两种部署方式:

1、直接将代码放置到resources下的子目录,比如app目录:

├── app
│   ├── package.json
│   └── resource
│       ├── index.html
│       └── main.js
├── default_app.asar
└── electron.asar

2、将应用打包加密为asar文件以后放置到resources目录,比如app.asar文件

├── app.asar
├── default_app.asar
└── electron.asar

asar 打包源码

asar 是一种简单的文件扩展格式,可以将文件如同tar格式一样前后连接在一起,支持随机读写,并使用 JSON 来保存文件信息,可以方便的读取与解析。Electron 通过它可以解决 Windows 文件路径长度的限制,提高require语句的加载速度,并且避免源代码泄漏。

首先,需要安装asar这个 npm 包,然后可以选择全局安装然通过命令行使用。

➜  npm install asar
➜  asar pack electron-demo app.asar

当然,更加工程化的方式是通过代码来执行打包操作,就像下面这样:

let asar = require("asar");

src = "../octopus";
dest = "build/app.asar";

/** 打包完成后的回调函数 */
callback = () => {
  console.info("asar打包完成!");
};

asar.createPackage(src, dest, callback);

Electron 在 Web 页面可以通过file:协议读取 asar 包中的文件,即将 asar 文件视为一个虚拟的文件夹来进行操作。

const { BrowserWindow } = require("electron");
const mainWindow = new BrowserWindow();

mainWindow.loadURL("file:///path/to/example.asar/static/index.html");

如果需要对 asar 文件进行 MD5 或者 SHA 完整性校验,可以对 asar 档案文件本身进行操作。

asar list app.asar


rcedit 编辑可执行文件

RcEdit是一款通过编辑窗口管理器的 rc 文件来对其进行配置的工具,Nodejs 社区提供了node-rcedit工具对 Windows 操作系统的.exe文件进行配置,首先通过npm i rcedit --save-dev为项目安装该依赖项。

var rcedit = require("rcedit");

rcedit(exePath, options, callback);

rcedit()函数包含有如下属性:

  • exePath:需要进行修改的 Windows 可执行文件所在路径。
  • options:一个拥有如下属性的配置对象。3.
  • version-string:版本字符串;
  • file-version:文件版本;
  • product-version:产品版本;
  • icon:图标文件.ico的路径;
  • requested-execution-level:需要修改的执行级别(asInvoker、highestAvailable、requireAdministrator)。
  • application-manifest:本地清单文件的路径。
  • callback:函数执行完毕之后回调,完整的函数签名为function(error)

出自:使用Electron打造跨平台桌面应用

回到顶部