【已解决】Nginx添加Content-Security-Policy等安全响应头无效
本帖最后由 Koen 于 2024-3-29 17:26 编辑为了能快速了解并处理您的问题,请提供以下基础信息:面板、插件版本:8.0.5
系统版本:CentOS7.9
问题描述:无论是在Nginx的配置文件里还是在站点的配置文件中,往server块中添加以下安全响应头的配置,并重启Nginx服务。通过curl -I https://www.aaa.com的方式查看响应头还是没有看到配置新增的安全响应头,这是为啥呢? add_header Content-Security-Policy "default-src 'self'"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options"nosniff"; add_header X-XSS-Protection '1; mode=block';说明:源站有经过WAF,测试时是直接绕过WAF直接访问源站进行测试
相关截图(日志、错误):
不好意思,已解决,是我测试段端口不对,走的还是经过WAF的路径,非直接访问源站。问题应该出在WAF上,不在宝塔这边。谢谢。
页:
[1]