Chromium WebUI 定制实践:从 C++ 注入到 JS 安全展示全链路解析

原创 于 2025-12-30 14:49:07 发布 · 551 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++ #javascript #chrome

2025年度报告已生成 2k人浏览 16人参与

的 WebUI 框架,但在定制浏览器、增加功能或修改 UI 时,如果不了解其机制,很容易踩坑。本文将从源码层、架构设计、i18n 安全、定制实践三个维度,深度解析 Chromium WebUI 的运行机制,并提供工程级定制方案,特别针对密码管理(password_manager)模块,确保安全、可维护。

一、loadTimeData:从 C++ 注入到 JS 的全链路机制

WebUI 最核心、最容易被误解的一条路径是 loadTimeData。它承担了 浏览器内核到前端页面的同步数据注入任务,包括字符串文案、布尔值、数字和 feature flag。理解其全链路,是安全定制的第一步。

1️⃣ 宏观视角

一句话总结:

C++ 在页面加载前,把一份只读配置 + 字符串字典注入到 JS 全局对象 loadTimeData 中,JS 只能读,不能写。

2️⃣ C++ 侧:WebUIDataSource(起点)

Chromium 的 WebUI 数据源由 content::WebUIDataSource 提供。以密码管理模块为例:

content::WebUIDataSource* source = content::WebUIDataSource::Create("password-manager");

本质上为 chrome://password-manager 创建了一个“虚拟站点数据源”。

(1)注入字符串资源
source->AddLocalizedString( "passwordManagerTitle", IDS_PASSWORD_MANAGER_TITLE);

底层逻辑:

  1. 记录 key → resource id;

  2. 页面加载时根据语言映射文本;

  3. 最终序列化成 JSON,待 JS 侧读取。

(2)注入布尔 / 数字 / Feature Flag
source->AddBoolean("enableAccountStorage", true); source->AddInteger("maxPasswords", 1000);

这是定制浏览器最安全的前后端桥梁,无需触碰业务 JS。

(3)绑定到 WebUI
content::WebUIDataSource::Add(profile, source);

到这一步为止:

  • 没有 JS;

  • 没有 DOM;

  • 仅仅准备数据。

3️⃣ 页面加载时发生了什么

当 WebUI 页面加载:

  1. Chromium 内部生成 JS,将 JSON 注入:

window.loadTimeData = new LoadTimeData({...});

  1. 这段 JS 先于业务 JS 执行

  2. 页面 JS 永远拿到已完成注入的对象。

这就是 loadTimeData 名称的由来。

4️⃣ JS 侧 runtime

核心 runtime 文件位于 src/ui/webui/resources/js/load_time_data.js

class LoadTimeData {
  getString(id) {
    return this.data_[id];
  }
  getBoolean(id) {
    return !!this.data_[id];
  }
}
window.loadTimeData = new LoadTimeData(...);

所有业务 JS 都通过 loadTimeData 获取 C++ 注入的数据,而不直接访问底层 JSON。

5️⃣ 使用示例

// 纯文本 const title = loadTimeData.getString('passwordManagerTitle'); 
// i18n 封装 this.i18n('passwordManagerTitle');

6️⃣ 为什么不用 Mojo / IPC

方案问题
Mojo异步、复杂、性能损耗
IPC安全模型复杂
loadTimeData同步、只读、安全,最适合静态配置和文案

结论:80% UI 配置 = loadTimeData,20% 动态数据 = Mojo

二、i18n vs i18nAdvanced:设计取舍 & 坑位清单

i18n 系列 API 是 WebUI 文案安全的核心,选择不当会导致 XSS 或页面炸裂。

1️⃣ 设计目标对比

API目标
i18n()100% 安全、纯文本
i18nAdvanced()有限 HTML,但必须可控

2️⃣ i18n() 强烈推荐

this.textContent = this.i18n('title');

特点:

  • 自动 escape;

  • 永远不会 XSS;

  • 不允许 HTML。

工程实践中,90% 文案都应使用 i18n()

3️⃣ i18nAdvanced() 高危

this.innerHTML = this.i18nAdvanced('description');

内部调用流程:

loadTimeData.getString() ↓ sanitizeInnerHtml() ↓ parseHtmlSubset()

4️⃣ parse_html_subset 白名单示例

允许标签:

  • <a href>

  • <b>

  • <i>

  • <br>

禁止或高风险:

内容结果
<br/>
<strong>❌(部分版本)
<a target="_blank">
<span style="">
&nbsp;
<img>

总结:能用 i18n 就不要用 i18nAdvanced,i18nAdvanced 仅保留历史兼容或特殊 HTML 场景。

5️⃣ 定制浏览器建议

  • 密码管理、同步、账号页面:

    • 一律禁 HTML 文案;

    • 用 CSS / DOM 组合代替。

三、定制浏览器:安全扩展 WebUI runtime

为了保证定制浏览器安全和可维护,有三种正确扩展方式。

1️⃣ ❌ 绝对不要做的事

  • 改 parse_html_subset.js;

  • 放宽 HTML 白名单;

  • 翻译文件包含复杂 HTML;

  • 业务 JS 开后门。

短期爽,长期炸。

2️⃣ ✅ 安全方式一:C++ → loadTimeData

source->AddBoolean("is360Browser", true); source->AddString("brandName", "360安全浏览器");

JS 使用:

if (loadTimeData.getBoolean('is360Browser')) { // 定制逻辑 }

优点:

  • 无 XSS;

  • 无运行期依赖;

  • 可测试。

3️⃣ ✅ 安全方式二:新增 runtime helper

新增文件 src/ui/webui/resources/js/brand_util.js

export function is360() { return loadTimeData.getBoolean('is360Browser'); }

业务层使用:

import { is360 } from 'chrome://resources/js/brand_util.js';

可维护、安全、分层清晰。

4️⃣ ✅ 安全方式三:WebUIMessageHandler(动态)

适合:

  • 实时数据;

  • 用户操作;

  • 状态变更。

动态数据使用 Mojo / message handler,不用于静态配置。

5️⃣ 推荐分层铁律

C++(配置 / feature) ↓ loadTimeData ↓ JS runtime(resources) ↓ helper / mixin ↓ 业务 WebUI

永远不要反向依赖。

四、password_manager i18n 重构示例(零炸)

原始文案存在 XSS 风险:

<message name="password_manager_description"> Please <a href="javascript:doSomething()">click here</a> to manage passwords. </message>

重构策略:

  • 移除危险 HTML;

  • 链接事件绑定而不是 javascript: URL;

  • 使用安全 API。

strings.xtb

<message name="password_manager_description"> Please click here to manage passwords. </message>

passwords_section.js

ready() {
  const desc = this.i18n('password_manager_description');
  this.shadowRoot.querySelector('#desc').textContent = desc;

  const link = this.shadowRoot.querySelector('#manage-link');
  link.addEventListener('click', () => {
    this.managePasswords();
  });
}

HTML 模板

<div id="desc"></div> <button id="manage-link">Manage</button>

✅ 安全:

  • 不依赖 innerHTML;

  • 不违反 parse_html_subset;

  • i18n 文案安全;

  • 用户事件绑定明确。

五、工程级总结

  1. 数据流清晰:C++ → loadTimeData → resources → 页面

  2. 安全边界明确:parse_html_subset + i18n / i18nAdvanced

  3. 定制方案

    • 新文案 / feature → loadTimeData + JS helper;

    • 动态数据 → Mojo / WebUIMessageHandler;

    • 不碰 infra,不改 parse_html_subset;

  4. 密码管理 / 同步页面:特别注意 HTML 安全,避免 innerHTML;

  5. 工程规范

    • loadTimeData 只读;

    • i18n 优先,i18nAdvanced 限用;

    • JS runtime 不改动,新增 helper 扩展;

    • Mojo 仅处理动态、异步逻辑。

总结一句话:Chromium WebUI 是“C++ 数据 + runtime 安全 + 业务展示”的闭环,正确理解和分层定制,是工程级浏览器安全和稳定的核心。

在 SAP GUI 的 ABAP 报表里嵌入 HTML 与 JavaScript:用 CL_GUI_HTML_VIEWER 做出可交互的轻量 UI
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
12-27 32
很多团队一边维护经典 Dynpro 报表,一边又希望用户体验更现代:输入校验更友好、提示更即时、界面更灵活,最好还能塞进一点点交互式可视化。对仍然跑在 SAP GUI 的场景来说,把一段 HTML 与 JavaScript 直接嵌进 ABAP 报表,是一个成本很低、见效很快的方案:ABAP 仍然负责业务与数据,前端交互交给浏览器内核去渲染。支撑这一切的核心控件,就是类,也就是 SAP HTML Viewer。属于 SAP GUI 前端控件体系,天然面向 SAP GUI 桌面客户端。
从 GRIT 到 WebUIChromium 内置资源加载与前端展示的完整链路解析
John_ToStr的博客
08-27 1174
本文深入解析Chromium中国际化字符串与WebUI页面的完整展示链路。GRIT工具通过.grd文件定义字符串资源,配合.xtb翻译文件生成.pak资源包,运行时由ui::ResourceBundle加载。文章详细介绍了从.grd编译到.h/.pak的构建过程,以及多语言切换机制。在WebUI部分,阐述了C++后端如何通过AddLocalizedStrings将字符串注入前端,最终由loadTimeData展示的完整流程。该机制实现了Chromium国际化支持与内置页面展示的关键功能,为开发者理解字符串从
Electron 与开源鸿蒙(OpenHarmony)性能工程深度解析:从启动优化到内存管理的全链路调优实践
2501_93917633的博客
12-10 951
Electron 与开源鸿蒙(OpenHarmony)性能工程深度解析:从启动优化到内存管理的全链路调优实践
干货 | 携程机票前端Web流式通信SSE全链路应用实践
携程技术
05-13 1147
仅仅只是简单接入SSE是远远不够的,离不开全链路(SSE技术选型,多层网络架构的适配,服务间的流式通信等等)的支持,所以最终决定联合携程框架、SRE、机票前后端团队共同来实现对SSE全链路的适配,真正意义上实现全公司通用的普适方案。关于SSE原生流解析 与 fes流解析是不同语言实现的这一点,我们也思考了语言差异对性能的影响,所以对响应数据的解析耗时做了实验,在相同机器和网络环境下,对比了原生 SSE 和 fes 处理数据流的耗时,实验结论是两者在耗时上没有明显差异(毫秒级)。
【GitHub开源项目实战】Browser-Use Web UI 开源实战分析:构建可控浏览器的 AI Agent 操作平台
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
05-13 1318
Browser-Use Web UI 是一个基于 Gradio 构建的开源图形界面,旨在为 AI Agent 提供浏览器自动化控制能力。该项目支持多种主流大语言模型(LLM),包括 OpenAI、Anthropic、DeepSeek 等,允许用户通过图形界面配置和执行浏览器任务,实现网页的自动化操作。本文将深入分析 Browser-Use Web UI 的架构设计、核心功能、部署方式以及在实际应用中的优化策略,帮助开发者高效构建基于浏览器的 AI 自动化系统。
软件产品开发全生命周期管理概览:从市场调研到运营维护(着重开发版)
初始阶段。长文本博客做模型上下文。新书《千界明彻录》(故事形式构建元思维)——胡说小说。更多思辨内容在公众号。
04-21 1332
软件产品开发是一个复杂而系统的过程,涉及到从市场调研、需求分析、产品设计,到开发、测试、部署及运维的各个阶段。每一环节都需要精确规划和执行,确保从技术与业务的结合中创造出具有市场竞争力的产品。在实践过程中,结合敏捷开发、数据驱动决策、技术创新与商业目标,将帮助团队更好地应对复杂的开发挑战,实现长期的业务成功。
全链路前端性能优化方案
xuzhijia1991的博客
12-30 2192
通常来讲前端性能优化是指从用户开始访问我们的网站到整个页面完整的展现出来的过程中,通过各种优化策略和优化方法让页面加载的更快,让用户的操作响应更及时,给用户更好的使用体验。 这里我们介绍的是前端性能优化知识的解决方案,从静态资源优化开始入手,从表象深入体系化的讲解页面渲染架构,掌握搞笑的技术方案。 本文并非细节的讲述如何实现性能优化,而是从各个方面介绍性能优化的方式方法,并且不仅限于H5,因为当今的前端也不仅仅只有H5。 图片资源优化 图片格式介绍 jpeg: 一种针对彩色照片而广泛使用的有损压缩图形格
从架构到源码:一文了解Flutter渲染机制
阿里云开发者
08-14 2646
简介:Flutter从本质上来讲还是一个UI框架,它解决的是一套代码在多端渲染的问题。在渲染管线的设计上更加精简,加上自建渲染引擎,相比ReactNative、Weex以及WebView等方案,具有更好的性能体验。本文将从架构和源码的角度详细分析Flutter渲染机制的设计与实现。较长,同学们可收藏后再看。写在前面跨平台技术由于其一码多端的生产力提升而表现出巨大的生命力,从早期的Hybrid App到ReactNative/Weex、小程序/快应用,再到现在的Flutter,跨平台技术一直在解决效率问题的基
如何全链路进行前端性能优化
code小生
12-02 965
“如果对性能优化很有兴趣的可以参加文末的送书活动”1. 概述通常来讲前端性能优化是指从用户开始访问我们的网站到整个页面完整的展现出来的过程中,通过各种优化策略和优化方法让页面加载的更快,让...
低延迟输入响应优化:从操作系统事件队列到渲染帧率的全链路9步追踪实录
[低延迟输入响应优化:从操作系统事件队列到渲染帧率的全链路9步追踪实录](https://img-blog.csdnimg.cn/20210106151324872.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly...
Chrome性能优化7大核心秘籍】:从启动速度到内存占用的深度调优全攻略
[【Chrome性能优化7大核心秘籍】:从启动速度到内存占用的深度调优全攻略](https://steveayo.com/wp-content/uploads/2022/06/Speed-at-Scale_-Web-Perf-Tips-Tricks-From-The-Trenches-2-1024x576.png) # 摘要 ...
LabVIEW与VLC协同工作原理深度剖析:COM通信机制全解析(仅限Windows高手必看)
本文围绕LabVIEW与VLC通过COM机制协同工作的技术实现,系统阐述了Windows平台下COM组件模型的理论基础与运行机制,深入分析了VLC作为ActiveX自动化服务器的接口暴露、事件回调及安全策略。结合LabVIEW对COM的调用...
【UE5+ArcGIS地图集成全攻略】:从零搭建地理空间应用的5大核心步骤
# UE5与ArcGIS集成的技术背景与架构解析 ...这不仅仅是简单的可视化升级,而是一场从“看得到”到“用得上”的质变。想象一下,城市规划师可以在完全真实的三维环境中模拟暴雨淹没场景;应急指挥官能实时看到传感器数
【读书笔记】Effective C++ 条款3:尽可能使用const
最新发布
m0_68617924的博客
12-29 518
同时,对于缓存,我们可能需要微小改动里面的值,即使改变了也依旧认为是const。的重载,const函数和非const函数绝大多数代码都是一样的,因此能否复用呢?在上面的代码中,const仅仅为保证str1指向的字符不被改变,但是我们可以将str1指向的内容改变。(注意:由于书本是比较老的,现在即便是c++98编译也会报错,但是由于是书中的例子,就讲究看一下吧)在这过程中,将const作为让编译器维护常量的口令,将编译器当作你的朋友。理论可以,但是调用非const就意味着需要冒着被改变的风险。
MS-F155_C(CAN 转光纤点对点模块)特点与功能介绍
2401_89785827的博客
12-26 990
MS-F155_C 是工业级 CAN 总线转光纤传输模块,核心功能是实现 CAN 总线电信号与光纤光信号的双向透明转换,解决 CAN 总线远距离传输衰减、电磁干扰等问题。设备采用点对点通信模式,无需复杂配置,即插即用,支持 CAN1.0/CAN2.0 协议,符合 ISO/DIS 11898 规范,可将 CAN 总线通信距离延长至多模 2000 米、单模 20~40 公里,适配工业现场 CAN 设备远距离组网、数据采集与控制场景,尤其适用于恶劣工矿环境。
Android C++ 学习笔记 2
zhuguanlin121的博客
12-28 621
template.cpp template2.cpp exception.cpp exception2.cpp exception3.cpp exception4.cpp exception5.cpp exception6.cpp exception7.cpp exception8.cpp 19th_smartpointer person.cpp person2.cpp person3.cpp person4.cpp person5.cpp person6.cpp person7.cpp person8.c
C++转GO】文件操作+协程和管道
saber_andlibert的博客
12-28 878
协程比线程更加轻量级,因为协程只运行在用户态,表现上只是不同的函数相互转换,不是线程来回转换。另外,C++20也更新了协程,不同的是C++20的协程是无栈协程,相比GO的有栈协程更快。如果使用闭包,协程获取i不通过传参,而是通过捕获,那么当协程执行的时候,i的值可能已经是5了,所以打印结果与预期不符。Go协程是Go语言中的轻量级线程,由Go运行时管理。与传统线程相比,协程更加轻量,创建和销毁的开销更小。我们要知道,切换线程需要更换寄存器的内容,需要进行现场保护和CPU调度,需要由用户态到内核态的转换。
安全隐私页面 Cordova&OpenHarmony 混合开发实战
2501_94444908的博客
12-29 280
本文介绍了家庭菜谱应用的安全隐私模块实现方案。该模块通过Cordova&OpenHarmony混合架构,Web层负责展示清理选项和确认对话框,ArkTS原生层执行实际数据操作。主要功能包括清除缓存和重置应用,通过不同按钮样式区分操作风险级别。清除缓存会删除临时文件,而重置应用则会清空所有菜谱数据。实现上采用"Web交互+原生执行"的安全分工模式,Web层处理用户确认和提示,原生层通过SecurityPlugin执行文件删除操作。该设计既保证了数据安全,又提供了良好的用户体验。
csp信奥赛C++标准模板库STL案例应用9
王老师青少年编程
12-25 898
csp信奥赛C++标准模板库STL案例应用9
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ปรัชญา แค้วคำมูล

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值