近日，Trustwave 公布了 Electron 上一个可引发跨站脚本攻击的漏洞 CVE-2018-1000136，包括 Atom 与 VS Code 在内的众多主流应用受到影响。

Electron 本质上是一个 Web 应用程序，这意味着它也需要正确过滤用户的输入，否则很容易受到跨站脚本攻击。据分析，通过将 nodeIntegration 设置成 true，Electron 不仅可以访问自己的 API，还可以访问到其它内置 Node.js 模块，在 WebView 标签和 window.open() 函数的默认作用下，使得攻击者可以执行一些危害操作，例如在 child_process 模块中发起请求，从而在客户端执行系统命令。

Electron 是一个流行的开发框架，它允许开发者使用 HTML、CSS 和 JavaScript 创建跨平台的桌面应用程序。一些流行的应用程序，如 Slack、Discord、Signal、Atom、Visual Studio Code 和 Github Desktop 都是使用 Electron 框架构建的，这使得此次漏洞影响较为广泛，但是目前该漏洞补丁已经发布，只要过去几周内进行过升级，那么大多数应用都不会受到影响。点击了解详情。

【声明】文章转载自：开源中国社区 [http://www.oschina.net]

更多关于 IT资讯 相关内容，感兴趣的码农可查看:

• 懒惰——程序员的美德之一
• 我是如何准备一个技术的分享？
• [译] 为复杂产品制定设计规范
• Codota 用人工智能帮程序员写代码，获 200 万美元种子资金
• 创业不谈钱，伤感情，给你股份！——惹毛程序员的20句话
• 印度人力成本低？程序员笑了，我们和圈内人聊了聊真相
• 阿里巴巴程序员都是“闲”的，才做了这么多不为人知的事情
• Stack Overflow:使用空格的开发者比使用Tab的钱赚的更多
• 从满腔热血到想删库跑路，神级程序员的开源苦与乐
• Stack Overflow程序员普查：改变一个小习惯年薪涨10万？

以上所述就是小编给大家介绍的Electron 曝 XSS 漏洞，Atom、VS Code 等受影响，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对Coder·码农的支持！