如何在宝塔面板配置HTTP内容安全策略？添加CSP头部防御XSS攻击

从现在开始，努力学习吧！本文《如何在宝塔面板配置HTTP内容安全策略？添加CSP头部防御XSS攻击》主要讲解了等等相关知识点，我会在golang学习网中持续更新相关的系列文章，欢迎大家关注并积极留言建议。下面就先一起来看一下本篇正文内容吧，希望能帮到你！

在宝塔面板Nginx配置中添加CSP需将add_header Content-Security-Policy "策略值" always;置于server或location /块内，用英文双引号包裹、单引号标注源、分号+空格分隔指令，且必须重载配置才生效。

直接在宝塔面板的网站配置文件里加 add_header Content-Security-Policy 指令就能生效，但必须注意指令位置、引号嵌套和指令值的空格分隔规则，否则 Nginx 会启动失败或策略被浏览器忽略。

在Nginx配置文件中正确添加CSP头部

宝塔默认使用 Nginx，CSP 必须通过 add_header 指令写入响应头，且需带 always 参数，否则 301/302 或错误页不会携带该头。

• add_header 必须放在 server 块或 location / 块内，不能放在 http 全局块（宝塔不支持）
• 整条策略必须用双引号包裹，内部单引号（如 'self'）不能省略，也不能错写成中文引号
• 多个指令之间用英文分号 + 空格分隔，例如：default-src 'self'; script-src 'self' https://cdn.example.com;
• 若策略含 unsafe-inline 或 unsafe-eval，必须显式写出，不能省略引号
• 修改后务必点击【重载配置】，仅【保存】不生效

避免常见语法错误导致策略失效

以下错误在宝塔用户中高频出现，会导致 Nginx 启动失败或浏览器完全忽略 CSP：

• 把 Content-Security-Policy 写成 Content-Security-Policy:（多了一个冒号）
• 在策略值里混用中文空格或全角分号，例如：script-src 'self'　https://a.com；
• 漏掉 always 参数：Nginx 默认只对 2xx 响应加 header，304、404、500 都不加
• 把 CSP 和其他 add_header 写在同一行，用空格连接——Nginx 不识别，会报 invalid number of arguments
• 在 Apache 环境误用 Nginx 语法（如写 add_header），应改用 Header set

根据实际需求选择宽松或严格策略

CSP 不能“抄一个就用”，得看站点是否依赖内联脚本、CDN 资源、第三方统计或 iframe：

• 纯静态站可起步用：add_header Content-Security-Policy "default-src 'self'; img-src 'self' data:; style-src 'self' 'unsafe-inline';" always;
• 用了 jQuery CDN 和 Google Fonts：script-src 'self' https://code.jquery.com; font-src 'self' https://fonts.gstatic.com;
• 有内联 ，观察控制台是否报 Refused to execute inline script
• 检查 console 是否出现 CSP policy violated 类警告，说明策略已加载但未阻断（可能是 -Report-Only 模式）
• 用在线工具如 Google CSP Evaluator 粘贴你的策略，识别危险配置（如 unsafe-inline 无 nonce）

最易被忽略的是：CSP 策略一旦启用，所有不符合规则的资源（包括字体、Ajax 接口、图片）都会静默失败，而错误日志只出现在浏览器控制台——服务器日志里完全看不到。上线前务必用真实终端和主流浏览器组合测试，别只信本地开发环境。

终于介绍完啦！小伙伴们，这篇关于《如何在宝塔面板配置HTTP内容安全策略？添加CSP头部防御XSS攻击》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！