Electron 如何允许不安全的 https

在 Electron 中，默认情况下，出于安全考虑，不安全的 HTTPS （例如自签名证书）是不被允许的。但是，在某些开发场景或特定环境下，可能需要允许这样的HTTPS连接。在 Electron 中可以通过一些方法来实现这一需求。

方法一：使用 app 模块的 on 方法

在 Electron 的主进程中，可以通过监听 certificate-error 事件来处理不安全的 HTTPS。当 Electron 尝试加载使用不安全证书的 HTTPS 资源时，会触发此事件。

javascript
const { app, dialog } = require('electron');

app.on('certificate-error', (event, webContents, url, error, certificate, callback) => {
    // 可以根据 URL 或其他条件自定义逻辑
    // 弹出对话框询问用户是否信任此证书
    const options = {
        type: 'warning',
        title: '证书安全警告',
        message: '此网站的HTTPS证书无法验证。是否继续？',
        buttons: ['是', '否']
    };
  
    const response = dialog.showMessageBoxSync(options);
    if (response === 0) {
        // 用户选择“是”，信任此证书
        event.preventDefault();
        callback(true);
    } else {
        // 用户选择“否”
        callback(false);
    }
});

在上面的代码中，我们监听了 certificate-error 事件，并通过对话框提示用户是否信任不安全的证书。如果用户选择信任（即响应 0），我们调用 callback(true) 来允许加载该资源。如果用户不信任，我们通过调用 callback(false) 阻止加载。

方法二：设置环境变量

对于开发环境，我们还可以通过设置环境变量来全局忽略所有证书错误。这种方法比较激进，一般不推荐在生产环境中使用。

javascript
process.env.NODE_TLS_REJECT_UNAUTHORIZED = '0';

通过将 NODE_TLS_REJECT_UNAUTHORIZED 设置为 '0'，Node.js 将不会拒绝任何未经授权的证书，从而允许 Electron 加载使用这些证书的 HTTPS 资源。

注意和建议

虽然以上方法可以解决开发中遇到的一些问题，但在生产环境中，出于安全考虑，强烈建议始终使用有效的、经过认证的 HTTPS 证书。允许不安全的 HTTPS 可能会使应用容易受到中间人攻击等安全风险。

使用这些方法应当谨慎，并在开发和测试环境中明确标识和处理这种例外情况，避免在生产环境中泄露敏感信息。