Electron preload 中如何正确暴露方法给渲染进程以确保安全通信？

1. 问题背景与常见风险

在Electron应用开发中，渲染进程和主进程之间的通信安全至关重要。如果直接通过`window`对象暴露Node.js功能（如`window.myApi = { ... }`），可能会导致恶意代码利用这些API危害主进程。

例如，攻击者可能通过注入脚本访问文件系统或执行敏感操作。为避免此类风险，必须采用受控的通信机制。

常见问题示例

• 错误地将Node.js原生模块直接暴露给渲染进程。
• 未对用户输入进行严格校验，导致路径遍历等漏洞。
• 全局污染：渲染进程中恶意代码可能篡改全局变量。

2. 安全通信的基础：contextIsolation与contextBridge

`contextIsolation`是Electron的一项重要功能，它隔离了主世界（Main World）和渲染世界（Isolated World）。即使启用了此功能，开发者仍需正确设计preload脚本以确保安全通信。

`contextBridge`是实现安全通信的核心工具，它允许开发者在渲染进程中仅暴露特定方法，而不会泄露底层实现细节。

3. 设计安全的API暴露机制

以下是一个循序渐进的设计步骤，确保API既满足功能需求又保障安全性：

1. 启用`contextIsolation`并编写preload脚本。
2. 使用`contextBridge`暴露必要的方法。
3. 通过`ipcRenderer`与主进程通信，主进程负责执行敏感操作。
4. 在主进程中严格校验参数，并限制访问范围。

示例代码

// preload.js
const { contextBridge, ipcRenderer } = require('electron');

contextBridge.exposeInMainWorld('myApi', {
    readFile: (path) => ipcRenderer.invoke('read-file', path),
    saveFile: (data, path) => ipcRenderer.invoke('save-file', data, path)
});

// main.js
const { app, BrowserWindow, ipcMain } = require('electron');

ipcMain.handle('read-file', async (event, path) => {
    if (!isValidPath(path)) throw new Error('Invalid path');
    return await readFileContent(path);
});

ipcMain.handle('save-file', async (event, data, path) => {
    if (!isValidPath(path)) throw new Error('Invalid path');
    await saveFileContent(data, path);
});

4. 流程图：通信机制概览

以下是渲染进程与主进程之间通信的流程图，展示如何通过preload脚本和`contextBridge`实现安全通信。

上述流程中，`contextBridge`确保渲染进程只能调用预定义的方法，而无法直接访问底层实现。

5. 深入分析：关键点与注意事项

在设计安全的API暴露机制时，需关注以下几个关键点：

• 最小权限原则：仅暴露实现功能所需的最小接口。
• 参数校验：主进程必须严格校验所有来自渲染进程的输入。
• 沙箱环境：对于高风险场景，考虑启用Electron的沙箱模式。
• 日志与监控：记录敏感操作的日志，便于后续审计。

例如，在处理文件读取时，应限制路径范围，避免访问系统关键目录。