Qt WebEngine Considérations de sécurité

Cette page couvre les questions de sécurité pour les utilisateurs de Qt WebEngine. En tant que partie intégrante de Qt, Qt WebEngine suit les politiques de sécurité de Qt. Reportez-vous à la section Sécurité de Qt pour plus d'informations sur les politiques.

Publications de Chromium et correctifs de sécurité

Qt WebEngine suit le calendrier de publication de Chromium. La dernière version de Qt WebEngine inclut les correctifs de sécurité publiés dans Chromium. Pour connaître les numéros de version précis et les correctifs publiés, consultez la page wiki QtWebEngine/ChromiumVersions.

Pour plus d'informations sur la façon dont Qt WebEngine Core met en œuvre les fonctionnalités et les versions spécifiques de Chromium, lisez la section Qt WebEngine Core Module. Il est également utile de se familiariser avec la politique de sécurité de Chromium.

Sujets relatifs à la sécurité pour les applications Qt WebEngine

Soyez conscient de la manipulation de données non fiables et de données sensibles dans votre application. Les données telles que les images, les informations sur les utilisateurs et les informations sur le système peuvent être chargées à partir de ressources distantes, à l'intérieur de l'application ou localement sur le système. Veillez à traiter les données non fiables de manière sécurisée, sans dégrader les performances ni exposer les informations sensibles. Le simple fait de révéler des noms de fichiers et des chemins d'accès à des répertoires peut exposer des données sensibles telles que des informations sur le système et la structure de la base de données.

WebEngine Qt XML et Chromium disposent de mécanismes tels que la politique de la même origine pour minimiser le risque de chargement à partir de sources inconnues. De nombreux sites web trompent les utilisateurs à l'aide de dialogues et en imitant des sites web populaires. Avec Qt WebEngineIl est possible de charger et d'afficher simplement des données fiables aux utilisateurs finaux et de verrouiller l'interface pour empêcher toute saisie indésirable. Votre interface utilisateur doit être robuste pour gérer les entrées erronées et les événements inattendus.

Le cross-site scripting (XSS) est un grave problème de sécurité pour les applications web. Cette attaque implique l'exécution d'un morceau de code qui peut inciter une application web à générer un contenu HTML malveillant afin de gagner la confiance de l'utilisateur. Par exemple, votre application utilise à son insu un code malveillant pour générer une boîte de dialogue demandant les informations d'identification de l'utilisateur. Ces informations d'identification sont ensuite envoyées à un service externe, ce qui peut entraîner la violation de comptes. Comme c'est votre application qui génère la boîte de dialogue, les utilisateurs font confiance à l'action malveillante. Faites attention à l'analyse des URL et assurez-vous que personne ne peut utiliser votre interface utilisateur à mauvais escient.

Reportez-vous à la section Manipulation de données non fiables pour plus d'informations sur les risques et les mesures d'atténuation.

Configurez les paramètres de Qt WebEngine

Une bonne pratique consiste à appliquer des politiques de confiance zéro qui limitent l'accès par défaut. La configuration du déploiement de Qt WebEngine peut contribuer à restreindre l'exécution par l'utilisateur et à distance. QWebEngineSettings possède des attributs qui peuvent désactiver l'exécution de JavaScript, le chargement automatique des images ou d'autres mécanismes pour empêcher une utilisation involontaire. Par exemple, la désactivation de QWebEngineSettings::LocalContentCanAccessFileUrls peut créer un environnement sandbox similaire à Chrome ou Firefox.