Electronのセキュリティについて話すとき大抵話題になるのはXSSとnodeintegrationによる任意コード実行ですが、それだけ考えていればいいというわけではありません。 Electronのドキュメントでは最低限確認すべき事項をリスト化しており、BrowserWindowやwebviewで外部のコンテンツを読み込む場合の注意点に一つ項目を追加したので紹介します。 Security, Native Capabilities, and Your Responsibility - Electron Use ses.setPermissionRequestHandler() in all sessions that load remote content (現時点ではmasterブランチにのみ記載) Electronは許可の必要な動作をユーザーに確認しない 例えばカメラやマイクへのアクセ