電子require()が定義されていません


107

私は自分の目的のためにElectronアプリを作成しています。私の問題は、HTMLページ内でノード関数を使用しているときに、次のエラーをスローすることです。

「require()」は定義されていません。

すべてのHTMLページでノード機能を使用する方法はありますか?可能であれば、これを行う方法の例を示すか、リンクを提供してください。HTMLページで使用しようとしている変数は次のとおりです。

  var app = require('electron').remote; 
  var dialog = app.dialog;
  var fs = require('fs');

これらは、Electron内のすべてのHTMLウィンドウで使用している値です。


回答:


285

バージョン5以降、のデフォルトがnodeIntegrationtrueからfalseに変更されました。ブラウザウィンドウを作成するときに有効にできます。

app.on('ready', () => {
    mainWindow = new BrowserWindow({
        webPreferences: {
            nodeIntegration: true
        }
    });
});

Electronの最近のバージョンでは、セキュリティ上の理由によりnodeIntegrationがデフォルトでfalseになっているため、ノードモジュールにアクセスするための推奨される方法はどれですか。nodeIntegrationなしでメインプロセスと通信する方法はありますか?
Paulo Henrique

28
@PauloHenrique nodeIntegration: trueは、アプリケーションで信頼できないリモートコードを実行している場合にのみセキュリティリスクになります。たとえば、アプリケーションがサードパーティのWebページを開くとします。サードパーティのWebページはノードランタイムにアクセスでき、ユーザーのファイルシステムで悪意のあるコードを実行できるため、これはセキュリティリスクになります。その場合、設定することは理にかなっていますnodeIntegration: false。アプリがリモートコンテンツを表示していない場合、または信頼できるコンテンツのみを表示している場合、設定nodeIntegration: trueは問題ありません。
xyres

1
これは私を夢中にさせていました。私のアプリはエラーを表示せず、コードを実行しませんでした。最終的に私をここに連れて行ったのは、エラーをインターセプトするためにtry catchブロックを使用したときでした。
Heriberto Juarez

2
@PauloHenrique-(セキュリティのベストプラクティスに従って)安全なアプリをフォローして作成したい場合は、このコメントで説明しているように私の設定に従ってください:github.com/electron/electron/issues/9920#issuecomment-575839738
Zac

33

セキュリティ上の理由から、nodeIntegration: falseプリロードスクリプトを保持して使用し、必要なものだけをNode / Electron APIからウィンドウ変数を介してレンダラープロセス(ビュー)に公開する必要があります。Electron docsから:

プリロードスクリプトは引き続きrequire、他のNode.js機能にアクセスできます


main.js

const mainWindow = new BrowserWindow({
  webPreferences: {
    preload: path.join(app.getAppPath(), 'preload.js')
  }
})

preload.js

const { remote } = require('electron');

let currWindow = remote.BrowserWindow.getFocusedWindow();

window.closeCurrentWindow = function(){
  currWindow.close();
}

renderer.js

let closebtn = document.getElementById('closebtn');

closebtn.addEventListener('click', (e) => {
  e.preventDefault();
  window.closeCurrentWindow();
});

1
:あなたは私のような電子の初心者であれば:レンダラーファイルは通常、古典的な方法でHTMLに含まれている<script src="./renderer.js"></script>
MrAn3

22

ここでの回答の大部分は、electronアプリに大きなセキュリティホールを残すため、この回答が注目を集めることを願っています。実際、この答えは本質的require()に、electronアプリで使用するためにすべきことです。(v7ではそれを少しすっきりさせる新しいElectron APIがあります)。

私はgithubで詳細な説明/解決策を、最新の電子APIを使用してどのようにできるrequire()かを書きましたが、ここでは、プリロードスクリプト、contextBridge、およびipcを使用するアプローチに従う必要がある理由を簡単に説明します。

問題

Electronアプリはnodeを使用できるので素晴らしいですが、この力は両刃の剣です。注意しないと、誰かがアプリを介してノードにアクセスできるようになります。ノードを使用すると、悪意のあるアクターがマシンを破損したり、オペレーティングシステムファイルを削除したりする可能性があります(とりわけ)。

コメントで@raddevusによって取り上げられたように、これはリモートコンテンツをロードするときに必要です。electronアプリが完全にオフライン / ローカルである場合は、おそらく単純に有効にするだけです。ただし、アプリを使用する偶発的/悪意のあるユーザーに対する保護手段として引き続き機能し、マシンにインストールされる可能性のあるマルウェアが電子アプリと相互作用して攻撃ベクトルを使用しないようにすることを選択します(非常にまれです) 、しかし起こる可能性があります)!nodeIntegration:truenodeIntegration:falsenodeIntegration:true

問題はどのように見えますか

この問題は、次の場合に発生します(以下のいずれか):

  1. nodeIntegration:true有効
  2. remoteモジュールを使用する

これらの問題はすべて、レンダラープロセスからノードへの中断のないアクセスを提供します。レンダラープロセスが乗っ取られた場合、すべてが失われたと見なすことができます。

私たちのソリューションは何ですか

解決策は、レンダラーにノード(つまり)への直接アクセスを許可するのrequire()ではなく、electronメインプロセスにへのアクセスを許可しrequire、レンダラープロセスがを使用する必要があるときはいつでもrequire、メインプロセスへのリクエストをマーシャリングすることです。

Electronの最新バージョン(7+)でこれが機能する方法は、レンダラー側でipcRendererバインディングをセットアップし、メイン側でipcMainバインディングをセットアップします。ipcMainバインディングでは、私たちが使用するモジュールを使用するリスナーメソッドを設定しますrequire()。私たちの主なプロセスはrequireそれが望むすべてを行うことができるので、これはうまくいきます。

contextBridgeを使用してipcRendererバインディングをアプリコード(使用する)に渡すため、アプリがrequireメインでdモジュールを使用する必要がある場合、IPC(プロセス間通信)を介してメッセージを送信し、メインプロセスが実行されますコードをいくつか入力し、結果をメッセージで送り返します。

大まかに、ここにあなたがしたいのです。

main.js

const {
  app,
  BrowserWindow,
  ipcMain
} = require("electron");
const path = require("path");
const fs = require("fs");

// Keep a global reference of the window object, if you don't, the window will
// be closed automatically when the JavaScript object is garbage collected.
let win;

async function createWindow() {

  // Create the browser window.
  win = new BrowserWindow({
    width: 800,
    height: 600,
    webPreferences: {
      nodeIntegration: false, // is default value after Electron v5
      contextIsolation: true, // protect against prototype pollution
      enableRemoteModule: false, // turn off remote
      preload: path.join(__dirname, "preload.js") // use a preload script
    }
  });

  // Load app
  win.loadFile(path.join(__dirname, "dist/index.html"));

  // rest of code..
}

app.on("ready", createWindow);

ipcMain.on("toMain", (event, args) => {
  fs.readFile("path/to/file", (error, data) => {
    // Do something with file contents

    // Send result back to renderer process
    win.webContents.send("fromMain", responseObj);
  });
});

preload.js

const {
    contextBridge,
    ipcRenderer
} = require("electron");

// Expose protected methods that allow the renderer process to use
// the ipcRenderer without exposing the entire object
contextBridge.exposeInMainWorld(
    "api", {
        send: (channel, data) => {
            // whitelist channels
            let validChannels = ["toMain"];
            if (validChannels.includes(channel)) {
                ipcRenderer.send(channel, data);
            }
        },
        receive: (channel, func) => {
            let validChannels = ["fromMain"];
            if (validChannels.includes(channel)) {
                // Deliberately strip event as it includes `sender` 
                ipcRenderer.on(channel, (event, ...args) => func(...args));
            }
        }
    }
);

index.html

<!doctype html>
<html lang="en-US">
<head>
    <meta charset="utf-8"/>
    <title>Title</title>
</head>
<body>
    <script>
        window.api.receive("fromMain", (data) => {
            console.log(`Received ${data} from main process`);
        });
        window.api.send("toMain", "some data");
    </script>
</body>
</html>

免責事項

私は、secure-electron-templateelectronアプリを構築するための安全なテンプレートの作成者です。私はこのトピックに関心があり、数週間(この時点で)これに取り組んできました。


私は新しいElectronJS開発者であり、ノード統合設定が変更されたため実行されなくなったPluralSiteチュートリアルを通じて作業していました。あなたの投稿はとても良いです。また、関連するGithubの投稿と関連する公式のElectronセキュリティドキュメントも読んでいます。ノード統合を正確にセットアップする(つまり、アプリが適切に動作し、安全になるようにする)には、(特に初心者向けに)多くの可動部分があります。Electron docsの次の文「リモートコンテンツをロードするレンダラー(BrowserWindow、BrowserView、または<webview>) Node.js統合を有効にしないことが最も重要です」(私の強調)
raddevus

私は逆が真であることを前提としています...「BrowserWindowがリモートコンテンツをロードしない場合は、ノード統合を含めるのが安全です」。その文が正しい場合は、投稿を少し変更して、この点を強調することができます。私の場合、そのカテゴリに該当する2つのアプリがあり、ノード統合を削除する必要がないためです。ご協力いただきありがとうございます。
raddevus

1
@raddevusありがとうございます。テンプレートを使用して、安全なElectronアプリを作成できます(使用する場合)。はい、あなたはあなたの強調に正しいです。ただし、無効にするnodeIntegrationことで、アプリの使用中にユーザーが誤ってまたは故意にユーザーに害を及ぼすのを防ぐことができ、一部のマルウェアが電子プロセスに接続され、このベクターが開いていることを認識してXSSを実行できた場合の特別な保護手段です(信じられないほど)まれですが、それが私の脳が行った場所です!)
ザック

1
@raddevusありがとうございます。コメントを反映するように投稿を更新しています。
ザック

9

nodeIntegration: falseBrowserWindowの初期化中に使用していますか?その場合は、それをtrue(デフォルト値はtrue)に設定します。

また、次のように(としてではなく<script> src="./index.js" </script>)HTMLに外部スクリプトを含めます。

<script>
   require('./index.js')
</script>

私はこれでpdf jsをオフラインで使用しています。nodeIntegration:trueを使用している場合、PDFJS.getDocumentは関数エラーではありません.pdfjsが完全に読み込まれたときにHTMLページでnodeIntegration:trueを設定する方法
マリセルバン2017年

このを見ましたか?経由var pdfjsLib = require('pdfjs-dist')でパッケージをインポートして、この方法で使用できる場合があります。
RoyalBingBong 2017年

require代わりにを使用することをお勧めする理由<script src="..."></script>ですか?これにも未回答の質問があります
bluenote10

@ bluenote10 Webpackはこの質問に答えます。スクリプトが何に依存しているかを判断するのは難しく、依存関係の順序を管理する必要があり、不要なコードが引き続きダウンロードされて実行されます。
haykam

7

まず、@ Sathiraumeshソリューションでは、電子アプリケーションに大きなセキュリティ問題が残ります。アプリがにいくつかの追加機能を追加しているとします。messenger.comたとえば、未読メッセージがあると、ツールバーのアイコンが変化したり点滅したりします。したがって、main.jsファイル内に次のように新しいBrowserWindowを作成します(messenger.comのスペルを意図的に間違っていることに注意してください)。

app.on('ready', () => {
    const mainWindow = new BrowserWindow({
        webPreferences: {
            nodeIntegration: true
        }
    });
    mainWindow.loadURL(`https://messengre.com`);
});

messengre.comコンピュータに危害を加えようとする悪意のあるWebサイトの場合はどうでしょうか。nodeIntegration: trueこのサイトを設定すると、ローカルファイルシステムにアクセスでき、これを実行できます。

require('child_process').exec('rm -r ~/');

そして、あなたのホームディレクトリはなくなりました。

解決策
すべてではなく、必要なものだけを公開します。これは、requireステートメントを含むJavaScriptコードをプリロードすることによって実現されます。

// main.js
app.on('ready', () => {
    const mainWindow = new BrowserWindow({
        webPreferences: {
            preload: `${__dirname}/preload.js`
        }
    });
    mainWindow.loadURL(`https://messengre.com`);
});
// preload.js
window.ipcRenderer = require('electron').ipcRenderer;
// index.html
<script>
    window.ipcRenderer.send('channel', data);
</script>

現在、awful messengre.comはファイルシステム全体を削除できません。


-1

最後に、私はそれを動作させました。このコードをHTMLドキュメントのスクリプト要素に追加します。

返信が遅くなって申し訳ありません。以下のコードを使用してこの処理を行います。

window.nodeRequire = require;
delete window.require;
delete window.exports;
delete window.module;

そして使用するnodeRequire代わりにrequireます。

それはうまくいきます。


HTMLページコードを共有してください。
ビジェイ

-1

あなたは有効にする必要がありnodeIntegrationwebPreferencesをそれを使用します。下記参照、

const { BrowserWindow } = require('electron')
let win = new BrowserWindow({
  webPreferences: {
    nodeIntegration: true
  }
})
win.show()

electron 5.0(アナウンスメントオンリポジトリー)に重大なapi変更がありました。最近のバージョンでは、nodeIntegrationはデフォルトでfalseに設定されています

ドキュメント ElectronのNode.js統合により、モジュール、エクスポート、要求のようなDOMに挿入される追加のシンボルがいくつかあります。一部のライブラリーでは、同じ名前のシンボルを挿入する必要があるため、問題が発生します。これを解決するには、Electronでノード統合をオフにします。

ただし、Node.jsおよびElectron APIを使用する機能を維持したい場合は、他のライブラリを含める前に、ページ内のシンボルの名前を変更する必要があります。

<head>
    <script>
        window.nodeRequire = require;
        delete window.require;
        delete window.exports;
        delete window.module;
    </script>
    <script type="text/javascript" src="jquery.js"></script>
</head>
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.