不能直接用 fs.readFile 读取用户选择的 XML 文件,因为渲染进程默认禁用 Node.js 集成,强行启用会引发安全风险;正确做法是通过 dialog.showOpenDialog 获取路径,再经 IPC 安全传至主进程校验并读取。
为什么不能直接用 fs.readFile 读取用户选择的 XML 文件
Electron 主进程能访问文件系统,但渲染进程默认被禁用 nodeIntegration(尤其在启用 contextIsolation: true 时),直接调用 fs 会报 ReferenceError: fs is not defined 或 require is not defined。强行开启 nodeIntegration 会极大增加 XSS 和任意文件读取风险,不推荐。
正确做法:用 dialog.showOpenDialog + ipcRenderer.invoke 安全传递路径
必须将文件路径从渲染进程安全传给主进程,由主进程完成读取——这是唯一可控、可校验的路径。关键点在于:只传路径,不传内容;主进程需验证路径合法性,防止目录遍历。
- 渲染进程用
dialog.showOpenDialog获取用户选中的文件路径(注意:设properties: ['openFile'],禁用多选和文件夹) - 主进程收到路径后,先用
path.resolve()和path.normalize()标准化,再检查是否落在允许目录内(例如仅允许读取用户文档目录下的.xml文件) - 用
fs.promises.readFile(path, 'utf8')读取,捕获解析异常,避免未处理的XMLParserError崩溃进程 - 返回前对 XML 内容做最小化清理(如移除外部实体声明
..>和处理指令),防止 XXE 攻击
// 主进程(main.js)
ipcMain.handle('read-xml-file', async (event, filePath) => {
const allowedRoot = app.getPath('documents');
const resolved = path.resolve(filePath);
if (!resolved.startsWith(allowedRoot) || path.extname(resolved) !== '.xml') {
throw new Error('Invalid file path or extension');
}
try {
let content = await fs.promises.readFile(resolved, 'utf8');
// 移除外置 DTD 和 XML 声明(简单防御 XXE)
content = content.replace(/]*>/gi, '');
content = content.replace(/^<\?xml[^>]*\?>/gm, '');
return content;
} catch (err) {
throw new Error(`Failed to read XML: ${err.message}`);
}
});
XML 解析阶段必须禁用外部实体和 DTD
即使文件来自本地,也不能信任其内容。Node.js 原生 DOMParser 不可用(无浏览器环境),而常用库如 xml2js 默认启用 DTD 解析,可能触发 XXE。必须显式关闭。
建站之星网站建设系统是一种全新的互联网应用模式,它一改过去传统的企业建站方式,不需企业编写任何程序或网页,无需学习任何相关语言,也不需第三方代写或管理网站,只需应用系统所提供的各种强大丰富的功能模块,即可轻松生成企业个性化的精美网站。 SiteStar v2.3本地软件体验包说明:为方便客户能够第一时间体验智能建站软件的强大功能,我们特别提供了本地软件体验包,您只需下载下来并安装在您的计算机上(和
- 用
xml2js时,设置options.xmlParser = {禁止 DTD: true, 禁止外部实体: true} - 更轻量推荐
fast-xml-parser,它默认不解析 DTD,且提供ignoreAttributes: false等细粒度控制 - 若只需提取特定字段(如配置项),优先用正则或流式解析(
xml-stream),避免整树加载——既防内存溢出,也减少攻击面
// 渲染进程(preload.js 中暴露的安全 API)
const { contextBridge, ipcRenderer } = require('electron');
contextBridge.exposeInMainWorld('api', {
readXmlFile: async (fileInput) => {
if (!fileInput.files.length) return null;
const [file] = fileInput.files;
const result = await ipcRenderer.invoke('read-xml-file', file.path);
// 在这里用 fast-xml-parser 解析
const parser = new XMLParser({ ignoreAttributes: false, parseTrueNumberOnly: true });
return parser.parse(result);
}
});
上传到远程服务前必须二次校验 XML 结构
“本地上传”常指把 XML 发往后端 API。此时前端解析只是预览,真正上传的内容仍需后端严格校验。但前端可提前拦截明显非法结构,节省用户等待时间。
- 检查根节点名是否符合预期(如必须是
) - 用
validator.js的isLength(content, { max: 1024 * 1024 })限制大小,防超大文件阻塞主线程 - 若含 base64 内容,检查是否为合法字符集,避免上传失败后才报错
最易忽略的是:Electron 打包后,app.getPath('documents') 在不同系统返回路径不同(Windows 是 C:\Users\X\Documents,macOS 是 /Users/X/Documents),硬编码路径白名单必然失效。所有路径校验必须基于 app.getPath() 动态生成,并在主进程中完成。
