hexo-deployer-upyun-plus

Hexo 又拍云存储部署插件，支持增量上传、智能清理等高级功能。

特性

• 🚀 并发上传（最高10个文件同时上传）
• 📊 MD5 校验，跳过未变更文件
• 🧹 智能清理策略（prompt/auto/none/flush）
• 💾 部署状态跟踪，支持增量部署
• 🎯 友好的进度显示

安装

npm install hexo-deployer-upyun-plus --save

配置

在Hexo的 _config.yml 中添加：

deploy:
  - type: upyun #指向又拍云。
    serviceName: your-service-name #您的服务名称。
    operatorName: your-operator-name #您的操作员名称（需要在控制台于对应服务关联）。
    operatorPassword: your-password #您的操作员密码
    path: / #可选，默认 '/'，要将您博客的/public中的文件传到又拍云的哪个目录。
    cleanup: flush  # 可选: prompt（默认） | auto | none | flush。

清理模式说明

| 模式 | 说明 | |----------|------| | prompt | 交互式确认删除多余文件（默认），即：检测到本地已删除的文件时，会提示用户确认是否删除远程文件。 | | auto | 自动删除多余文件，即：自动删除远程存在但本地不存在的所有文件（通过与上一次上传记录进行对比）。 | | none | 不删除任何文件。 | | flush | ⚠️危险，清空整个目录后重新上传。 |

安全说明

本插件依赖的 upyun SDK 目前使用 [email protected]，该版本的 axios 存在一些已知的安全漏洞（如 GHSA-wf5p-g6vw-rhxx、GHSA-jr5f-v2jv-69x6、GHSA-4hjh-wcwx-xvwj）。但是，这些漏洞在 Hexo 静态博客部署场景中无法被利用，原因如下：

1. 部署环境可控：Hexo 部署通常在本地或受信任的 CI/CD 环境中运行，不暴露于不可信的网络
2. 不处理用户输入：部署过程中不处理任何用户输入，因此不存在 SSRF（服务器端请求伪造）或凭证泄漏的风险
3. 数据量可控：部署上传的文件是静态生成的，文件大小和数量可控，因此不易受到 DoS 攻击
4. 无用户会话：部署过程不涉及用户会话管理，因此 CSRF 漏洞无法被利用

我们会持续关注 upyun SDK 的更新，一旦其升级依赖并发布新版本，我们将及时更新本插件。

同时，我们建议用户仅在安全的环境中使用此插件，如果不满足以上要求的请立即停止使用本插件。

致谢

本插件基于 abcdGJJ/hexo-deployer-upyun2019 重构开发，感谢@abcdGJJ。

许可证

MIT © iNMB