Qt WebEngine Consideraciones de seguridad

Esta página cubre temas de seguridad para los usuarios de Qt WebEngine. Como parte de Qt, Qt WebEngine sigue las políticas de seguridad de Qt. Consulta Seguridad en Qt para más información.

Lanzamientos de Chromium y correcciones de seguridad

Qt WebEngine sigue el calendario de lanzamientos de Chromium. La última versión de Qt WebEngine incluye las correcciones de seguridad publicadas en Chromium. Para conocer los números exactos de las versiones y las correcciones publicadas, visita la página wiki en QtWebEngine/ChromiumVersions.

Para más información sobre cómo Qt WebEngine Core implementa las características de Chromium y versiones específicas, lee la sección Qt WebEngine Core Module. También es beneficioso estar familiarizado con la Política de Seguridad de Chromium.

Temas de seguridad para aplicaciones Qt WebEngine

Se consciente del manejo de datos no confiables y datos sensibles dentro de tu aplicación. Datos como imágenes, información de usuario e información del sistema pueden ser cargados desde recursos remotos, desde dentro de la aplicación o localmente en el sistema. Ten cuidado de cómo procesas los datos no fiables de forma segura sin degradar el rendimiento y sin exponer información sensible. Incluso revelar nombres de archivos y rutas de directorios puede exponer datos sensibles como información del sistema y estructura de bases de datos.

Qt WebEngine y Chromium disponen de mecanismos como la política del mismo origen para minimizar el riesgo de carga desde fuentes desconocidas. Muchos sitios web engañan a los usuarios con diálogos e imitando sitios web populares. Con Qt WebEnginees posible simplemente cargar y mostrar datos de confianza a los usuarios finales y bloquear la interfaz para evitar entradas no deseadas. Su interfaz de usuario debe ser robusta para manejar entradas erróneas y eventos inesperados.

Un grave problema de seguridad para las aplicaciones web es el cross-site scripting (XSS). Este ataque consiste en ejecutar un fragmento de código que puede engañar a una aplicación web para que genere contenido HTML malicioso con el fin de ganarse la confianza del usuario. Por ejemplo, su aplicación, sin saberlo, toma un código malicioso para generar un cuadro de diálogo pidiendo las credenciales del usuario. Esas credenciales se envían entonces a un servicio externo que puede conducir a cuentas violadas. Como es tu aplicación la que genera el diálogo, los usuarios confían en la acción maliciosa. Ten cuidado al analizar las URL y asegúrate de que nadie pueda hacer un mal uso de tu interfaz de usuario.

Consulte Manejo de datos no confiables para obtener información adicional sobre riesgos y mitigación.

Configure Qt WebEngine

Es una buena práctica aplicar políticas de confianza cero que restrinjan el acceso de forma predeterminada. Configurar la implementación de Qt WebEngine puede ayudar a restringir la ejecución remota y por parte del usuario. QWebEngineSettings tiene atributos que pueden desactivar la ejecución de JavaScript, desactivar la carga automática de imágenes u otros mecanismos para evitar el uso no intencionado. Por ejemplo, deshabilitar QWebEngineSettings::LocalContentCanAccessFileUrls puede crear un entorno sandbox similar a Chrome o Firefox.