Electron — это фреймворк, который позволяет писать кроссплатформенные настольные приложения с использованием JavaScript, HTML и CSS. Полити…

Electron — это фреймворк, который позволяет писать кроссплатформенные настольные приложения с использованием JavaScript, HTML и CSS. Политика Content-Security-Policy, отключающая eval, в частности, устанавливающая директиву `script-src` и _не_ предоставляющая `unsafe-eval` в этой директиве, не соблюдается в рендерерах с отключенной песочницей. Т. е. `sandbox: false` в объекте `webPreferences`. Это позволяет неожиданно использовать такие методы, как `eval()` и `new Function`, что может привести к расширению поверхности атаки. Эта проблема затрагивала только 22 и 23 основные версии Electron и была исправлена в последних версиях этих линий выпуска. В частности, эти версии содержат исправления: 22.0.1 и 23.0.0-alpha.2. Мы рекомендуем всем приложениям обновиться до последней стабильной версии Electron. Если обновление невозможно, эту проблему можно решить без обновления, включив `sandbox: true` во всех рендерерах.