electron 中 contextBridge 作用

1. 安全地实现渲染进程和主进程之间的通信

在 Electron 应用中，主进程和渲染进程是相互隔离的，这是为了安全和稳定性考虑。

然而，在很多情况下，渲染进程需要访问主进程中的某些功能，例如系统级别的操作或者一些应用级别的全局资源。

contextBridge 模块的主要作用就是在这两个隔离的进程之间建立一个安全的、受限制的通信桥梁。

它允许主进程有选择性地将一些安全的 API 或者数据暴露给渲染进程，同时防止渲染进程直接访问主进程中可能存在安全风险的部分。

2. 防止安全漏洞

避免直接暴露主进程模块给渲染进程

如果没有 contextBridge，简单地将主进程模块（如`electron`模块）直接暴露给渲染进程，会带来严重的安全风险。

例如：渲染进程可能会意外地或者被恶意地利用来执行一些危险的操作，像访问本地文件系统、控制窗口的无限制行为等。

contextBridge 通过限制和代理的方式，只允许特定的、经过验证的通信，从而降低这种安全风险。

3. 具体使用方法和示例

3.1 在主进程中定义暴露给渲染进程的 API

首先，在主进程（通常是`main.js`）中，使用 contextBridge 来定义可以安全地暴露给渲染进程的函数或者数据。

const { app, BrowserWindow, contextBridge } = require("electron");

let win;

function createWindow() {

  win = new BrowserWindow({

    width: 800,

    height: 600,

    webPreferences: {

      nodeIntegration: false,

      contextIsolation: true,

      preload: path.join(__dirname, "preload.js"),

    },

  });

  win.loadFile("index.html");

}

app.on("ready", createWindow);

// 在主进程中定义一个安全的API，例如获取应用版本号

contextBridge.exposeInMainContext("versions", {

  appVersion: app.getVersion(),

});

在预加载脚本（preload.js）中进行配置（如果需要），预加载脚本在渲染进程加载网页之前运行，它可以进一步配置和管理 contextBridge 暴露的内容。

const { contextBridge } = require("electron");

// 可以在这里对暴露的API进行进一步处理，如验证、转换等

contextBridge.exposeInMainContext("moreData", {

  // 假设这里添加一些其他的数据或者函数

});

在渲染进程中使用暴露的 API，在渲染进程（例如`index.html`对应的 JavaScript 文件）中，就可以使用主进程暴露过来的 API。

window.versions.appVersion;

这里通过`window.versions`访问到主进程暴露的应用版本号信息。渲染进程只能访问主进程通过 contextBridge 暴露的特定内容，无法访问主进程中的其他未暴露部分，从而保证了安全性。