https://svtter.cn/tags/%E8%B8%A9%E5%9D%91/Recent content in 踩坑 on Svtter's BlogHugo -- gohugo.iozh-cnSat, 13 Jun 2026 18:29:24 +0800https://svtter.cn/p/hugo-0163-%E5%8D%87%E7%BA%A7%E8%AE%B0%E5%BD%95/Sat, 13 Jun 2026 18:29:24 +0800https://svtter.cn/p/hugo-0163-%E5%8D%87%E7%BA%A7%E8%AE%B0%E5%BD%95/<img src="https://svtter.cn/p/hugo-0163-%E5%8D%87%E7%BA%A7%E8%AE%B0%E5%BD%95/pics/cover_1781357169.png" alt="Featured image of post Hugo 0.163 升级记录：security.allowContent 拦截了 HTML 内容" /><p>最近更新了一次主题，不知不觉把 Hugo 也带到了 <code>v0.163.1</code>。然后 <code>hugo server</code> 就起不来了。</p> <h2 id="现象">现象 </h2><p>启动直接报错：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-fallback" data-lang="fallback"><span class="line"><span class="cl">ERROR ... content/index.html:1:1&#34;: access denied: &#34;text/html&#34; is not whitelisted in policy &#34;security.allowContent&#34; </span></span></code></pre></td></tr></table> </div> </div><p>首页 <code>content/index.html</code>（一个嵌着 GitHub Calendar 的页面）被拒之门外。奇怪的是 markdown 文章一个没受影响。</p> <h2 id="根因">根因 </h2><p>不是主题的锅，是 Hugo 本身。<code>0.163</code> 引入了一个新的安全策略 <code>security.allowContent</code>，默认配置长这样：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span><span class="lnt">2 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-toml" data-lang="toml"><span class="line"><span class="cl"><span class="p">[</span><span class="nx">security</span><span class="p">]</span> </span></span><span class="line"><span class="cl"> <span class="nx">allowContent</span> <span class="p">=</span> <span class="p">[</span><span class="s1">&#39;! ^text/html$&#39;</span><span class="p">]</span> </span></span></code></pre></td></tr></table> </div> </div><p>意图是防止 <code>content/</code> 目录里混入恶意 HTML（一种 XSS 防护）。<code>!</code> 前缀表示 deny 规则。方向是对的，但本站的 HTML 内容页是正经页面，不是攻击向量，于是被误伤了。</p> <h2 id="allowcontent-的语义挺绕">allowContent 的语义挺绕 </h2><p>这部分是最值得记的。我先按官方 security 文档那套 allowlist 的思路去猜，结果几次试错才搞清楚。把几次配置的结果放一起对比就很明显了：</p> <table> <thead> <tr> <th>配置</th> <th style="text-align: center">html</th> <th style="text-align: center">markdown</th> </tr> </thead> <tbody> <tr> <td>默认 <code>['! ^text/html$']</code></td> <td style="text-align: center">拒</td> <td style="text-align: center">放行</td> </tr> <tr> <td>空列表 <code>[]</code></td> <td style="text-align: center">拒</td> <td style="text-align: center">放行</td> </tr> <tr> <td><code>['^text/html$']</code></td> <td style="text-align: center">放行</td> <td style="text-align: center">拒</td> </tr> </tbody> </table> <p>据此可以推出几条结论：</p> <ul> <li>配置里<strong>没有任何 allow 规则</strong>（只有 <code>!</code> deny 规则，或者干脆为空）→ 「默认放行」模式，只拦截命中 deny 的类型；</li> <li>配置里<strong>一旦出现 allow 规则</strong>（不带 <code>!</code> 的项）→ 立刻切到「白名单」模式，只有命中的类型才放行，其余全部拒绝；</li> <li><code>text/html</code> 还有一条<strong>隐含的内置 deny</strong>，连空列表 <code>[]</code> 都清不掉它（所以 <code>[]</code> 和默认表现一模一样）。</li> </ul> <p>这就解释了为什么「显式放行 html」(<code>['^text/html$']</code>) 反而把 markdown 也一起拒了——它触发了白名单模式。</p> <p>所以正确的修法是用一条通配 allow 规则：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span><span class="lnt">2 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-toml" data-lang="toml"><span class="line"><span class="cl"><span class="p">[</span><span class="nx">security</span><span class="p">]</span> </span></span><span class="line"><span class="cl"> <span class="nx">allowContent</span> <span class="p">=</span> <span class="p">[</span><span class="s1">&#39;.*&#39;</span><span class="p">]</span> </span></span></code></pre></td></tr></table> </div> </div><p><code>.*</code> 命中所有类型，html 和 markdown 都放行；而且 allow 规则能压过那条内置的 html deny（实测 <code>['^text/html$']</code> 时 html 是能通过的，证明 allow 优先级高于内置 deny）。</p> <blockquote> <p>顺带一提，直接读 <code>hugo config</code> 打印出的当前生效配置，是确认这些细节最快的办法，比翻文档靠谱——毕竟官方 security 页面目前根本还没收录 <code>allowContent</code> 这个新 key。</p> </blockquote> <h2 id="修复">修复 </h2><p><code>config/_default/config.toml</code> 末尾加上面那段，<code>hugo server</code> 恢复正常。</p> <h2 id="更大的坑contentindexhtml-让整站文章只剩四分之一">更大的坑：content/index.html 让整站文章只剩四分之一 </h2><p><code>allowContent</code> 修完，<code>hugo server</code> 确实能起了。但写这篇文章时发现一个<strong>比上面严重得多</strong>的问题——新写的文章死活构建不出来，怎么都不生成独立页面。</p> <p>排查下来，又是 0.163 的行为变化。项目根目录有个 <code>content/index.html</code>（starter 模板自带的，里面嵌了个 GitHub Calendar）。Hugo 一直有条警告：</p> <blockquote> <p>Using index.html in your content&rsquo;s root directory is usually incorrect &hellip; your home page will be treated as a leaf bundle, meaning it won&rsquo;t be able to have any child pages or sections.</p> </blockquote> <p>以前（旧版 Hugo）这条只是警告、不影响构建；<strong>0.163 开始动真格了</strong>——首页一旦是 leaf bundle，整棵 content 树就丢了子页面/子 section。后果很吓人，拿掉这个文件前后对比：</p> <table> <thead> <tr> <th></th> <th>有 content/index.html</th> <th>改成 _index.html 后</th> </tr> </thead> <tbody> <tr> <td>构建出的文章</td> <td>~106 篇</td> <td><strong>625 篇</strong></td> </tr> <tr> <td>文章 URL</td> <td>全跑去 <code>/post/</code></td> <td>恢复 <code>/p/:slug/</code></td> </tr> <tr> <td>新文章</td> <td>静默吞掉</td> <td>正常</td> </tr> <tr> <td><code>hugo list all</code></td> <td>只剩 1 条</td> <td>715 条</td> </tr> </tbody> </table> <p>也就是说，<strong>如果直接拿 0.163 重新部署，站点会凭空消失四分之三的文章，所有旧的 <code>/p/</code> 链接全 404</strong>。这个杀伤力比 <code>allowContent</code> 大多了，而且 <code>hugo server</code> 照样能&quot;启动成功&quot;，不报错，极度隐蔽。</p> <p>最骚的是，这个 <code>content/index.html</code> 里的日历<strong>从来就没在线上首页渲染过</strong>（线上首页是文章列表），它纯粹是个&quot;只搞破坏不干活&quot;的死文件——来自 starter 模板，留着只会埋雷。</p> <p>修法很简单，二选一：</p> <ul> <li><code>content/index.html</code> 改名成 <code>content/_index.html</code>（变成 branch bundle，不再吞子页面），构建立刻恢复；</li> <li>或者干脆删掉它，效果一样、更干净。</li> </ul> <h2 id="另外带出来的两个小问题">另外带出来的两个小问题 </h2><p>排查过程里还冒出来两个，跟安全策略无关：</p> <ol> <li><strong><code>hugo --gc</code> 报 permission denied</strong>。<code>resources/_gen/</code> 下的缓存文件是 root 拥有的——大概是之前用 root 或容器跑过一次构建留下的。<code>sudo chown -R $USER resources/</code> 归位即可。这玩意儿只影响 <code>--gc</code> 的垃圾回收，不影响 <code>hugo server</code> 和普通构建。</li> <li><strong>一批配置弃用警告</strong>（v0.158 起 deprecated）：<code>languageCode</code> → <code>locale</code>、<code>languages.*.languageName</code> → <code>languages.*.label</code>、<code>languages.*.languageDirection</code> → <code>languages.*.direction</code>。现在还是 WARN，未来版本会变成 ERROR。这个我开了个 <a class="link" href="https://github.com/Svtter/hugo-blog/issues/72" target="_blank" rel="noopener" >issue</a> 跟踪，回头一并改了。</li> </ol> <h2 id="小结">小结 </h2><p>这次 0.163 升级踩了两个坑，一个明一个暗：</p> <ul> <li><strong>明的</strong>：<code>security.allowContent</code> 默认拦 HTML，启动直接报错，反而好发现。加 <code>allowContent = ['.*']</code> 解决。</li> <li><strong>暗的</strong>：<code>content/index.html</code> 让首页变 leaf bundle，0.163 下静默吞掉四分之三的文章、打乱所有 URL，而 <code>hugo server</code> 照样&quot;成功启动&quot;不报错。这个才是真正危险的——要不是我顺手写篇文章发现它构建不出来，直接部署就惨了。</li> </ul> <p>教训：升级 Hugo 大版本后，别光看 <code>hugo server</code> 能不能起，<strong>一定要对比一下构建出的文章数量和 URL 结构</strong>有没有变（比如 <code>find public/p -type d | wc -l</code>）。<code>hugo server</code> 成功 ≠ 站点健康。</p> <p>至于那些弃用警告（<code>languageCode</code> 之类），回头慢慢改，不影响运行。</p>