Hugo 安全模型

運行時安全

Hugo 生成靜態網站，這意味著最終輸出直接在瀏覽器中運行並與任何集成的 API 交互。但是，在開發和站點構建期間，hugo 可執行文件本身是運行時環境。

保護運行時是一項復雜的任務。Hugo 通過強大的沙盒方法和具有默認保護的嚴格安全策略來解決這個問題。主要功能包括：

• 虛擬文件系統：Hugo 采用虛擬文件系統，限制文件訪問。只有主項目（而不是外部組件）可以訪問項目根目錄之外的文件或目錄。
• 只讀訪問：用戶定義的組件對文件系統具有只讀訪問權限，防止意外修改。
• 受控外部二進制文件：雖然 Hugo 利用外部二進制文件來實現 Asciidoctor 支持等功能，但這些二進制文件嚴格預定義，具有特定的標志，並且默認情況下是禁用的。安全策略 詳細說明了這些限制。
• 無任意命令：為了降低風險，Hugo 有意避免實現允許用戶執行任意操作系統命令的通用函數。

這種沙盒和嚴格默認值的組合有效地最小化了 Hugo 構建過程中潛在的安全漏洞。

依賴安全

Hugo 利用 Go 模塊 來管理其依賴項，編譯為靜態二進制文件。Go 模塊創建 go.sum 文件，這是一個關鍵的安全功能。此文件充當數據庫，存儲所有依賴項（包括間接需要的依賴項，即傳遞依賴項）的預期加密校驗和。

Hugo 模塊 擴展了 Go 模塊的功能，也會生成 go.sum 文件。為確保依賴項完整性，請將此 go.sum 文件提交到您的版本控制中。如果 Hugo 在構建過程中檢測到校驗和不匹配，它將失敗，表明可能試圖 篡改項目的依賴項。

Web 應用程序安全

Hugo 的安全理念植根於既定的安全標准，主要與 OWASP 定義的威脅保持一致。對於 HTML 輸出，Hugo 在明確的信任模型下運行。該模型假設模板和配置作者（開發人員）是值得信賴的。但是，提供給這些模板的數據本質上被視為不可信的。這種區別對於理解 Hugo 如何處理潛在的安全風險至關重要。

為了防止開發人員知道是安全的數據意外轉義，Hugo 提供了 safe 函數，例如 safeHTML。這些函數允許開發人員明確將數據標記為可信的，繞過默認轉義機制。這對於從可靠來源生成或獲取數據的場景至關重要。但是，存在一個例外：啟用 內聯短代碼。通過激活此功能，您隱式信任短代碼內的邏輯和內容文件中包含的數據。

重要的是要記住 Hugo 是一個靜態站點生成器。這種架構選擇通過消除與動態用戶輸入相關的復雜性和漏洞來顯著減少攻擊面。與動態網站不同，Hugo 生成靜態 HTML 文件，最小化實時攻擊的風險。關於內容，Hugo 的默認 Markdown 渲染器 配置為清理 潛在的不安全內容。此默認行為確保刪除或轉義潛在的惡意代碼或腳本。但是，如果您對內容來源的安全性有高度信心，可以重新配置此設置。

本質上，Hugo 通過在開發人員和數據之間建立明確的信任邊界來優先考慮安全輸出。默認情況下，它傾向於謹慎，清理潛在的不安全內容並轉義數據。開發人員可以通過 safe 函數和 配置選項 靈活地調整這些默認值，但他們必須清楚地了解安全影響。Hugo 的靜態站點生成模型通過最小化動態漏洞進一步加強了其安全態勢。

配置

請參閱 配置安全。