Electron：Windows 上 app.setAsDefaultProtocolClient 中的注册表键路径注入

### 影响 在 Windows 上，`app.setAsDefaultProtocolClient(protocol)` 在写入注册表之前未验证协议名称。将不受信任的输入作为协议名称传递的应用程序可能允许攻击者写入 `HKCU\Software\Classes\` 下的任意子键，从而可能劫持现有的协议处理程序。 只有当应用程序使用从外部或不受信任的输入派生的协议名称调用 `app.setAsDefaultProtocolClient()` 时，才会受到影响。使用硬编码协议名称的应用程序不受影响。 ### 解决方法 在将其传递给 `app.setAsDefaultProtocolClient()` 之前，验证协议名称是否与 `/^[a-zA-Z][a-zA-Z0-9+.-]*$/` 匹配。 ### 修复版本 * `41.0.0` * `40.8.1` * `39.8.1` * `38.8.6` ### 更多信息 如果对此建议有任何疑问或意见，请发送电子邮件至 [security@electronjs.org](mailto:security@electronjs.org)