BrowserView 自 Electron 30 起已被弃用，现由 WebContentView 替代。 幸运的是，迁移过程相对简单。

Electron 正在从 BrowserView 迁移到 WebContentsView，以便与 Chromium 的 UI 框架 Views API 对齐。 WebContentsView 提供了一个可重用的 view，可以直接与 Chromium 的渲染管道相连，简化了未来的升级，并为开发者在他们的 Electron 应用中集成非网页 UI 元素打开了可能性。 通过采用 WebContentsView，应用程序不仅为即将到来的更新做好了准备，还能在长期中受益于减少代码复杂性和潜在错误的数量。

熟悉 BrowserWindows 和 BrowserViews 的开发者应注意，BrowserWindow 和 WebContentsView 分别是从 BaseWindow 和 View 基类继承的子类。 要全面了解可用的实例变量和方法，请务必查阅这些基类的文档。

迁移步骤​

1. 升级 Electron 到 30.0.0 或更高​

2. 熟悉您的应用程序在哪些地方使用了 BrowserViews。​

一种方法是搜索你的代码库中 new BrowserView(。 这将让你了解你的应用程序是如何使用 BrowserViews 的，以及有多少需要迁移的调用点。

3. 迁移每个 BrowserView。​

1. 迁移实例化。 这应该相当简单，因为 WebContentsView 和 BrowserView 的构造函数基本上具有相同的形式。 两者都通过 webPreferences 参数接受 WebPreferences。

   - this.tabBar = new BrowserView({
   + this.tabBar = new WebContentsView({
   

   info

   By default, WebContentsView instantiates with a white background, while BrowserView instantiates with a transparent background. To get a transparent background in WebContentsView, set its background color to an RGBA hex value with an alpha (opaqueness) channel set to 00:

   + this.webContentsView.setBackgroundColor("#00000000");
   

2. 迁移 BrowserView 到添加到父窗口的地方。

   - this.browserWindow.addBrowserView(this.tabBar)
   + this.browserWindow.contentView.addChildView(this.tabBar);
   

3. 迁移父窗口上的 BrowserView 实例方法调用。

   旧方法	新方法	注意：
   win.setBrowserView	win.contentView.removeChildView + win.contentView.addChildView
   win.getBrowserView	win.contentView.children
   win.removeBrowserView	win.contentView.removeChildView
   win.setTopBrowserView	win.contentView.addChildView	在现有视图上调用 addChildView 会将其重新排序到顶部。
   win.getBrowserViews	win.contentView.children

4. 将 setAutoResize 实例方法迁移到一个 resize 监听器上。

   - this.browserView.setAutoResize({
   -   vertical: true,
   - })
   
   + this.browserWindow.on('resize', () => {
   +   if (!this.browserWindow || !this.webContentsView) {
   +     return;
   +   }
   +   const bounds = this.browserWindow.getBounds();
   +   this.webContentsView.setBounds({
   +     x: 0,
   +     y: 0,
   +     width: bounds.width,
   +     height: bounds.height,
   +    });
   +  });
   

   提示

   所有现有的 browserView.webContents 使用以及实例方法 browserView.setBounds、browserView.getBounds 和 browserView.setBackgroundColor 都无需迁移，并且应该与 WebContentsView 实例无缝兼容！

4) 测试并提交您的更改​

遇到问题了吗？ 请检查 Electron Issues 上的 WebContentsView 标签，以查看您遇到的问题是否已被报告。 如果您在那里没有看到您的问题，请随时添加一个新的错误报告。 包含测试用例 gist 将帮助我们更好地判断您的问题！

恭喜，您已经迁移到WebContentsView！ 🎉

Electron 33.0.0 已发布！ 它包括对 Chromium 130.0.6723.44、V8 13.0 和 Node 20.18.0 的升级。

Electron 团队很高兴发布了 Electron 33.0.0！ 你可以通过 npm install electron@latest 或者从我们的发布网站下载它。 继续阅读此版本的详细信息。

如果您有任何反馈，请在 Twitter 或 Mastodon 上与我们分享，或加入我们的 Discord 社区！ Bug 和功能请求可以在 Electron 的问题跟踪器中报告。

重要变化​

• 添加了一个处理程序 app.setClientCertRequestPasswordHandler(handler)，以帮助在需要 PIN 时解锁加密设备。 #41205
• 扩展 navigationHistory API，增加两个新功能以改善 history 管理。 #42014
• 改善了原生主题透明度检查。 #42862

Historical changes to Electron APIs will now be detailed in the docs.

Hi 👋, I'm Peter, the 2024 Google Summer of Code (GSoC) contributor to Electron.

Over the course of the GSoC program, I implemented an API history feature for the Electron documentation and its functions, classes, etc. in a similar fashion to the Node.js documentation: by allowing the use of a simple but powerful YAML schema in the API documentation Markdown files and displaying it nicely on the Electron documentation website.

Electron 32.0.0 已发布！ 包括升级 Chromium 128.0.6613.36，和 V8 12.8 以及 Node. js 20.16.2。

Electron 团队很高兴发布了 Electron 32.0.0！ 你可以通过 npm install electron@latest 或者从我们的发布网站下载它。 继续阅读此版本的详细信息。

如果您有任何反馈，请在 Twitter 或 Mastodon 上与我们分享，或加入我们的 Discord 社区！ Bug 和功能请求可以在 Electron 的问题跟踪器中报告。

重要变化​

• 在我们的文档中添加新的 API 版本历史，一个由 @piotrpdev 创建的功能，作为Google Summer 代码的一部分。 You can learn more about it in this blog post. #42982
• 从 Web 文件 API 中移除非标准 File.path 扩展。 #42053
• 尝试打开受阻止路径中的文件或目录时，将 Web File System API 中的故障路径与上游对齐。 #42993
• 将以下现有的导航相关API添加到 webContents.navigationHistory : canGoBack, goBack, canGoForward, goForward, canGoToOffset, goToOffset, clear。 旧的导航API现已被废弃。 #41752

Electron 31.0.0 已发布！ 包括升级 Chromium 126.0.6478.36，和 V8 12.6 以及 Node. js 20.14.2。

Electron 团队很高兴发布了 Electron 31.0.0 ！ 你可以通过 npm install electron@latest 或者从我们的发布网站下载它。 继续阅读此版本的详细信息。

如果您有任何反馈，请在 Twitter 或 Mastodon 上与我们分享，或加入我们的 Discord 社区！ Bug 和功能请求可以在 Electron 的问题跟踪器中报告。

重要变化​

• 扩展 WebContentsView 以接受预先存在的 webContents 对象 #42319
• 添加了对 NODE_EXTRA_CA_CERTS 的支持。 #41689
• 更新了 window.flashFrame(bool) 以在 macOS 上持续闪烁。 #41391
• 移除了 WebSQL 支持。#41868
• nativeImage.toDataURL 将保留 PNG 颜色空间 #41610
• 扩展 webContents.setWindowOpenHandler 以支持手动创建 BrowserWindow。 #41432

Electron 30.0.0 已发布！ 它包括对 Chromium 124.0.6367.49、V8 12.4 和 Node.js 20.11.1 的升级。

Electron 团队很高兴发布了 Electron 30.0.0 ！ 你可以通过 npm install electron@latest 或者从我们的发布网站下载它。 继续阅读此版本的详细信息。

如果您有任何反馈，请在 Twitter 或 Mastodon 上与我们分享，或加入我们的 Discord 社区！ Bug 和功能请求可以在 Electron 的问题跟踪器中报告。

重要变化​

• Windows 现在支持 ASAR 完整性检查 (#40504)
  • 启用ASAR完整性的现有应用程序如果配置不正确，可能无法在Windows上工作。 使用 Electron 打包工具的应用应该升级到 @electron/packager@18.3.1 或 @electron/forge@7.4.0。
  • 查看我们的 ASAR Integrity 教程 以获取更多信息。
• 添加了 WebContentsView 和 BaseWindow 主进程模块，废弃并替换 BrowserView (#35658). Learn more about how to migrate from BrowserView to WebContentsView in this blog post.
  • BrowserView 现在是 WebContentsView 的一个壳，并且旧的实现已被移除。
  • 查看 我们的 Web Embeds 文档 以便将新的 WebContentsView API 和其他类似 API进行比较。
• 实现了对 File System API 的支持 (#41827)

我们很高兴地宣布，Electron 已被接受为第 20 届“谷歌代码之夏（GSoC）2024”的指导机构！ Google Summer of Code 是一个全球计划，专注于将新贡献者引入到开源软件的开发中。

欲了解更多计划详情，请查阅 Google 的 Summer of Code 主页。

关于我们​

Electron 是一个 JavaScript 框架，用于使用 Web 技术构建跨平台桌面应用程序。 Electron 的核心框架是一个编译的二进制可执行文件，由 Chromium 和 Node.js 构建，大多以 C++ 编写。

在 Electron 核心之外，我们还致力于各种项目，帮助维持 Electron 组织，例如：

• 用户发行工具（例如，Electron Forge 和 update.electronjs.org）。
• 面向 Electron 开发人员的学习材料（例如 electronjs.org 和 Electron Fiddle）。
• 简化开发者生产力的内部工具（例如，Electron Building Tools 和 Sheriff）。

作为 Summer of Code 贡献者，你将与 Electron 的一些核心贡献者在 github.com/electron 下的众多项目之一上进行合作。

申请前​

如果你不熟悉 Electron，我们会建议你首先阅读文档和在 Electron Fiddle 中尝试示例。

要了解更多有关 Electron 应用程序发布的信息，还可以使用 Electron Forge，创建一个示例应用程序：

npm init electron-app@latest my-app

在稍微熟悉了代码之后，请加入 Electron Discord 服务器.

起草你的提案​

有兴趣与 Electron 合作吗？ 首先，请查看我们准备的 七个项目的议题。 目前，所有列出的议题都接受提案。

你有不同的议题希望我们考虑吗？ 我们也愿意接受不在拟议项目清单上的新议题，但要确保你的方法得到充分的概述和详细说明。 如有疑问，我们建议坚持使用我们列出的想法。

您的申请应包括：

• 你的提案：一份书面文件，详细描述你计划在夏季实现的目标。
• 你作为开发者的背景。 如果你有简历，请附上一份副本。 否则，请告诉我们你过去的技术经验。
  • 在某些领域缺乏经验不会使你失去资格，但它将帮助我们的导师制定一个计划来最好地支持你并确保您的夏季项目取得成功。

这里有关于 Electron 申请提交内容的详细指南。 直接向Google Summer of Code 网站提交提案。 请注意，你应该通过 GSoC 官网提交你的提案，发送邮件到 Electron team 将不会被视为有效提交。

如果你希望获得更多有关提案的指导，或不确定应包含哪些内容，我们还建议你可以参考 Google Summer of Code 官方提案写作建议。

申请在 2024 年 3 月 18 日 开始，于 2024 年 4 月 2 日 停止。

问题?​

如果你有我们在博客文章没有提到的问题，或者对你的提案草案有疑问，请发送电子邮件至 summer-of-code@electronjs.org 或查看 GSoC 常见问题解答!

资源​

• Electron Google Summer of Code 2024 提案列表
• Electron Google Summer of Code 2024 贡献指导
• Google Summer of Code 学生/贡献者指南

Electron 29.0.0 已发布！ 它包括升级 Chromium 122.0.6261.39，和 V8 12.2 以及 Node.js 20.9.2。

Electron 团队很高兴发布了 Electron 29.0.0 ！ 你可以通过 npm install electron@latest 或者从我们的发布网站下载它。 继续阅读此版本的详细信息。

如果您有任何反馈，请在 Twitter 或 Mastodon 上与我们分享，或加入我们的 Discord 社区！ Bug 和功能请求可以在 Electron 的问题跟踪器中报告。

重要变化​

• 添加了一个新的顶级 webUtils 模块，这是一个渲染进程模块，提供与 Web API 对象交互的实用程序层。 模块中第一个可用的 API 是 webUtils.getPathForFile。 Electron 以前的 File.path 扩充偏离了网页标准；这个新的 API 更符合当前的 web 标准行为。

架构（Stack）更新​

• Chromium 122.0.6261.39
  • 新的 Chrome 122 和 DevTools 122
  • 新的 Chrome 121 和 DevTools 121
• Node 20.9.0
  • Node 20.9.0 博文
  • Node 20.0.0 博文
• V8 12.2

Electron 29 将 Chromium 从 120.0.6099.56 升级到 122..0.661.39, Node 从 18.18.2 升级到 20.9.0，V8 从 12.0 升级到 12.2。

新特性​

• 添加了新的 webUtils 模块，一个与 Web API 对象交互的实用程序层，替换 File.path 扩充。 #38776
• 添加 net 模块到 utility process。 #40890
• 添加了一个新的 Electron Fuse， grantFileProtocolExtravileges 让 file:// 协议使其具有更安全和更严格的行为，与 Chromium 相匹配。 #40372
• 在 protocol.registerSchemesAsseged 中添加了一个选项，以允许自定义协议开启 V8 code cache。 #40544
• 迁移 app.{set|get}LoginItemSettings(settings) 以便在 MacOS 13.0+ 上使用 Apple 推荐的新底层框架。 #37244

重大更改​

行为改变：ipcRenderer 不能再通过 contextBridge 发送​

现在通过 contextBridge 传送整个 ipcRenderer 模块作为对象，会在 bridge 的接收方收到一个 空对象。 此更改是为了消除/减轻一种安全隐患。 你不应该直接暴露 bridge 上的 ipcRenderer 或它的方法。 相反，应该提供一个像下面这样的安全包装器：

contextBridge.exposeInMainWorld('app', {
  onEvent: (cb) => ipcRenderer.on('foo', (e, ...args) => cb(args)),
});

移除：app 上的 render-process-crashed 事件​

The renderer-process-crashed event on app has been removed. 改用新的 render-process-gone 事件。

// 移除
app.on('renderer-process-crashed', (event, webContents, killed) => {
  /* ... */
});

// 替换为
app.on('render-process-gone', (event, webContents, details) => {
  /* ... */
});

移除：WebContents 和 <webview> 上的 crashed 事件​

WebContents 和 <webview> 上的 crashed 事件已被移除。 改用新的 render-process-gone 事件。

// 移除
win.webContents.on('crashed', (event, killed) => {
  /* ... */
});
webview.addEventListener('crashed', (event) => {
  /* ... */
});

// 替换为
win.webContents.on('render-process-gone', (event, details) => {
  /* ... */
});
webview.addEventListener('render-process-gone', (event) => {
  /* ... */
});

Removed: gpu-process-crashed event on app​

app 上的 gpu-process-crashed 事件已被移除。 使用新的 child-process-gone 事件代替。

// 移除
app.on('gpu-process-crashed', (event, killed) => {
  /* ... */
});

// 替换为
app.on('child-process-gone', (event, details) => {
  /* ... */
});

终止对 26.x.y 的支持​

根据项目的支持政策，Electron 26.x.y 已经达到了支持的终点。 我们鼓励开发者将应用程序升级到更新的 Electron 版本。

接下来​

您是否知道 Electron 最近添加了社区征求意见 (RFC) 流程？ 如果您想在框架中添加一项功能，RFC 可以成为您与维护者就功能设计展开对话的有用工具。 您还可以查看 PR 中正在讨论的即将发生的更改。 若要了解更多信息，请直接查看我们的 introduction electron/rfcs 博客文章，或查看 electron/rfcs 版本库的 README。

在短期内，您可以期待团队继续专注于跟上构成 Electron 的主要组件的开发，包括 Chromium、Node 和 V8。

您可以在此处找到 Electron 的公开时间表。

有关这些和未来变化的更多信息可在计划的突破性变化页面找到。

Electron 的 API 工作组 正在采用开放的 征求意见 (RFC) 流程来帮助引导更大的变更 到 Electron core。

为什么要使用 RFC？​

简而言之，我们希望顺利完成 Electron core 重大变更的落地过程。

目前，新的代码主要通过 GitHub 上的 issues 和拉取代码合并请求进行变更的。 对于 Electron 的大多数更改，这是一个很好的体系。 许多错误修复、文档更改、 甚至新功能也足够简单，可以通过以下方式异步审查和合并 标准 GitHub 流程。

对于更重大的变化-例如，大型 API 或会影响大多数 Electron 应用程序的破坏性更改，在 构思阶段进行审查是有意义的。

这个过程旨在对公众开放，这也将使得广大 开源社区能够在这些变化落实到 Electron之前，更容易地提供反馈。

它是如何工作的？​

整个 RFC（请求评论）过程托管在 GitHub 上的 electron/rfcs 仓库中。 步骤在仓库的 README 中有详细描述。

简而言之，一旦向 electron/rfcs 仓库提交了 PR，一个 RFC 就被提出了。 一个被提出的 RFC 会变成：

• Active，当 PR 被合并到仓库的 main 分支时，这意味着 Electron 的维护者对在 electron/electron 中实施该提案持开放态度，或者
• Declined，如果 PR 最终被拒绝。

如果实施已经合并到 electron/electron 中，一个激活的 RFC 就被视为 Completed。

谁可以参与？​

Electron 社区中的任何人都可以提交 RFC 或在 electron/rfcs 仓库上留下反馈！

• 要查看活跃 RFC 的列表，请参阅仓库中的 text 文件夹。
• 要对提出的 RFC 留下反馈，请查看开放的 PR 的列表。
• 要提交一个新的 RFC，请查看仓库的 README 和 RFC 模板。

我们希望将这个过程变成一种双向对话，并鼓励社区参与，以便从可能在未来使用这些 API 的 Electron 应用程序中获得多样化的意见。 如果你 对当前提出的 RFC 留下反馈感兴趣，Electron 的维护者们已经创建了 一些：

• Electron C APIs
• Preload Realm for Service Workers

致谢​

Electron 的 RFC 流程借鉴了许多已建立的开源 RFC 流程。 许多想法和主要文案的灵感来源于：

• emberjs/rfcs
• reactjs/rfcs
• rust-lang/rfcs
• tauri-apps/rfcs
• vuejs/rfcs
• yarnpkg/rfcs

今天早些时候，Electron 团队被告知，最近有几个公开的 CVEs 针对几个著名的 Electron 应用程序进行了提交。 这些 CVE 与 Electron 的两个 fuses（保险丝） - runAsNode 和 enableNodeCliInspectArguments - 相关，并错误地声称，如果这些组件没有被积极禁用，远程攻击者能够通过这些组件执行任意代码。

我们认为这些 CVE 并非出于善意提交。 首先，这个声明是不正确的 - 配置并不允许远程代码执行。 其次，尽管拥有漏洞赏金计划，但在这些 CVE 中被点名的公司并没有收到通知。 最后，虽然我们确实相信禁用相关组件可以增强应用程序的安全性，但我们认为这些 CVE 的提交并没有准确反映其严重性。 “Critical”级别是为最高危险的问题保留的，显然这里的情况并非如此。

任何人都可以申请 CVE。 虽然这对软件行业的整体健康有益，但“挖掘 CVEs”来增强单个安全研究员的声誉并没有帮助。

话虽如此，我们理解仅仅是一个带有可怕的 critical 严重性的 CVE 的存在可能会导致用户感到困惑，因此作为一个项目，我们希望提供指导和协助来处理这个问题。

这会给我带来什么影响？​

在审查了 CVEs 之后，Electron 团队认为这些 CVEs 并不是 critical 的。

攻击者需要已经能够在机器上执行任意命令，无论是通过对硬件的物理访问还是通过实现完全的远程代码执行。 这值得重申：所描述的漏洞_要求攻击者已经能够访问被攻击的系统_。

例如，Chrome 在其威胁模型中不考虑本地物理攻击：

我们认为这些攻击超出了 Chrome 的威胁模型范围，因为对于已经能够以你的身份登录你的设备或者能够以你的操作系统用户账户的权限运行软件的恶意用户，Chrome（或任何应用程序）无法进行防御。 这样的攻击者可以修改可执行文件和DLL文件，更改像 PATH 这样的环境变量，更改配置文件，读取你的用户账户所拥有的任何数据，将其通过电子邮件发送给自己等等。 这样的攻击者对你的设备拥有完全的控制权，Chrome 所能做的任何事情都无法提供严格的防御保证。 这个问题不仅仅存在于Chrome - 所有应用程序都必须信任本地物理用户。

利用 CVE 中描述的漏洞，攻击者可以将受影响的应用程序用作具有继承 TCC 权限的通用 Node.js 进程。 因此，如果应用程序例如已被授权访问地址簿，攻击者可以将应用程序作为 Node.js 运行，并执行将继承该地址簿访问权限的任意代码。 这通常被称为“寄生式攻击”。 攻击者通常使用 PowerShell、Bash 或类似工具来运行任意代码。

我是否受到了影响？​

默认情况下，所有发布版本的 Electron 都启用了 runAsNode 和 enableNodeCliInspectArguments 功能。 如果您没有按照 Electron Fuses 文档中描述的方法关闭它们，那么您的应用程序同样容易受到“寄生式攻击”的影响。 再次强调，攻击者需要已经能够在受害者的机器上执行代码和程序。

缓解措施​

减轻这个问题的最简单方法是在您的 Electron 应用程序中禁用 runAsNode fuse。 runAsNode fuse 用于切换是否考虑 ELECTRON_RUN_AS_NODE ` 环境变量。 请参阅 Electron Fuses 文档以获取有关如何切换这些 fuses 的信息。

请注意，如果禁用了这个 fuse，那么主进程中的 process.fork 将无法按预期运行，因为它依赖于这个环境变量来运行。 相反，我们建议您使用实用进程，它适用于许多需要独立的 Node.js 进程的用例（例如 Sqlite 服务器进程或类似情况）。

您可以在我们的安全清单中找到更多关于我们推荐的 Electron 应用程序的安全最佳实践的信息。