老实说,我突然忘记了Hexo是个半年不发Release的懒狗。

例行npm audit的时候突然看到了Hexo的XSS安全问题而且没得修复,于是出于此前因为log4j无尽的安全问题被折磨加班到崩溃的心情,兴致勃勃地打开了GitHub附赠的Dependency Bot让它去检查其他的安全问题,结果发现现在生成的博客根本一个字都看不见了。

最后无奈,回滚到之前的某次commit重新来写。也对,这他妈就是个静态博客,你XSS还能搞到哪里去呢?