Безопасно ли использовать тэг webview в Electron?

Question

В Электрон webview документации , есть это предупреждение:

Тег веб-сайта Electron основан на веб-браузере Chromium, который переживает драматические архитектурные изменения. Это влияет на стабильность веб-просмотров, включая рендеринг, навигацию и события маршрутизации. В настоящее время мы рекомендуем не использовать тег webview и рассмотреть альтернативы, такие как iframe, BrowserView Electron или архитектура, которая полностью исключает встроенный контент.

Рекомендуется не использовать webview, однако ни одна из альтернатив, таких как iframe или BrowserView, не подходит для моего варианта использования, как webview. Поэтому мне интересно, если в приведенном выше предупреждении не рекомендуется использовать webview только , потому что API и архитектура могут измениться в будущем или есть какие-либо известные проблемы безопасности с webview прямо сейчас? И вообще, что меня больше всего волнует, так это: безопасно использовать webview (с точки зрения безопасности) прямо сейчас?

Answer 1

На этот вопрос ответили https://github.com/electron/electron/issues/18187.

Веб-просмотры выполняются в отдельном процессе и по умолчанию отключена интеграция узлов, поэтому не должно быть никаких серьезных причин, по которым они менее безопасны, чемальтернативы.Вы определенно захотите использовать опцию webPreferences для включения песочницы, отключения удаленного модуля, включения изоляции контекста и т. Д. (Пример для BrowserView ).

Однако, существуетколичество ошибок в веб-просмотрах прямо сейчас, несколько недавних примеров:

# 17890

# 18019

#18177

Большинство из них отсутствуют в BrowserView, поэтому вы определенно хотите использовать это вместо этого, если это вообще возможно.