MUI v5をElectronで使うメモ

2022/02/22 記事の構成を大きく変えました

Electron × Content-Security-Policy

ElectronはContent-Security-Policy(CSP)を有効にすることを推奨している。

Content Security Policy (CSP) は、クロスサイトスクリプティング攻撃やデータインジェクション攻撃から保護する副層です。 Electron 内でロードする任意のウェブサイトで有効にすることを推奨します。

※ リンク先は英語ページ

Material-UI v4

Material-UI v4はjssが使われているので、CSPへの対処方法もjssに従ったものになっている。

secure-electron-template のissue#14 のコメントの中には具体的な方法が書かれている(今までお世話になりました)。

The way that you do this is by passing a tag in the

of your HTML. JSS will then, by convention, look for a <meta property="csp-nonce" tag and use the content value as the nonce.

You must include this header regardless of whether or not SSR is used. Here is an example of what a fictional header could look like:

<head>
  <meta property="csp-nonce" content="this-is-a-nonce-123" />
</head>

MUI v5

MUI v5からはjssに代わってemotionが使われている。そのため、jssのやり方である

<meta property="csp-nonce" content="this-is-a-nonce-123" />

は使えない。
MUIのCSPのページを見てみると下記のようになっていた。

const cache = createCache({
  key: 'my-prefix-key',
  nonce: nonce,
  prepend: true,
});

function App(props) {
  return (
    <CacheProvider value={cache}>
      <Home />
    </CacheProvider>
  );
}

createCacheに渡すnonceと<meta http-equiv="Content-Security-Policy" .../>の中に書いたnonceの値を一致させればいい。

ということで、

const nonce = document.head.querySelector('[property~=csp-nonce][content]')?.getAttribute('content') as string;
const cache = createCache({
    key: 'my-prefix-key',
    prepend: true,
    nonce,
});

自分でmetaタグからnonceを取ってくる。webpackやhtml(ejs)の設定は、secure-electron-template のissue#14 のコメントの中の方法から変わっていない。

別解（私はこっち派）

ElectronのCSPの指定方法は、metaタグだけではない。

メインプロセスで HTTP headers に書き込むことができる。

であれば、

• メインプロセスでnonceを作り、HTTPヘッダに書き込む

main.ts

session.defaultSession.webRequest.onHeadersReceived((details, callback) => {
    callback({
        responseHeaders: {
            ...details.responseHeaders,
            'Content-Security-Policy': [
                "base-uri 'self'",
                "object-src 'none'",
                "script-src 'self'",
                "frame-src: 'none'",
                "worker-src 'none'",
                `style-src 'self' 'nonce-${nonce}'`,
            ],
        },
    });
});

• レンダラープロセスから取得できるように公開する

main.ts

ipcMain.handle('nonce', () => nonce);

preload.ts

const api = {
    nonce: () => ipcRenderer.invoke('nonce')
};
contextBridge.exposeInMainWorld('api', api);

• レンダラープロセスでnonceをCacheProviderに渡す

index.tsx

(async () => {
    const nonce = await window.api.nonce();
    const cache = createCache({
        key: 'my-prefix-key',
        prepend: true,
        nonce,
    });
    ReactDOM.render(
        <CacheProvider value={cache}>
            ...
        </CacheProvider>
    , document.getElementById('root'));
})();

ejsもwebpackも使う必要もないし、nonceがHTMLにべた書きになることもない。