宝塔面板下如何开启网站的响应头安全防护字段？

宝塔面板中可通过三种方式为网站配置安全响应头：一、在站点配置文件中添加 Nginx 指令；二、在 Nginx 主配置 http 块内全局设置；三、在 Apache 环境下通过。htaccess 文件配置，并需验证响应头是否生效。

如果您在宝塔面板中部署了网站，但未配置 HTTP 响应头中的安全字段，则可能使站点暴露于点击劫持、MIME 类型探测、跨站脚本注入等风险。以下是开启网站响应头安全防护字段的具体操作步骤：

一、通过宝塔面板网站设置添加自定义响应头

该方法直接在面板图形界面中为指定站点配置 Header，无需修改底层配置文件，适合大多数用户快速启用基础安全头。

1、登录宝塔面板，进入【网站】模块，找到目标站点，点击右侧【设置】按钮。

2、在弹出窗口中切换至【配置文件】选项卡，向下滚动至 location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ 区块之后、location ~ .*.(js|css)?$区块之前的位置。

3、在此处插入以下 Nginx 指令：

add_header X-Content-Type-Options “nosniff” always;
add_header X-Frame-Options “DENY” always;
add_header X-XSS-Protection “1; mode=block” always;
add_header Referrer-Policy “no-referrer-when-downgrade” always;
add_header Permissions-Policy “geolocation=(), microphone=(), camera=()” always;

4、点击右上角【保存】按钮，随后点击【重载配置】使设置生效。

二、通过 Nginx 主配置文件全局启用安全响应头

该方法适用于需对服务器上所有站点统一启用安全头的场景，通过修改 Nginx 全局配置，在 http 块中定义，避免重复配置。

1、在宝塔面板左侧菜单点击【软件商店】，找到已安装的 Nginx，点击右侧【设置】→【配置修改】。

2、在打开的配置文件中，定位到 http { 起始的大括号后第一行（即 http 块内部最顶部位置）。

3、插入如下指令：

add_header X-Content-Type-Options “nosniff” always;
add_header X-Frame-Options “DENY” always;
add_header X-XSS-Protection “1; mode=block” always;
add_header Referrer-Policy “no-referrer-when-downgrade” always;
add_header Permissions-Policy “geolocation=(), microphone=(), camera=()” always;

4、保存文件后，返回 Nginx 设置页点击【重载配置】。

三、通过站点根目录。htaccess 文件启用（仅限 Apache 环境）

若您的网站使用的是 Apache 引擎（宝塔中可切换），且未启用 Nginx 反向代理，则可通过。htaccess 文件为单个站点添加响应头，无需重启服务。

1、进入宝塔【文件】模块，导航至目标站点的根目录（如/www/wwwroot/yourdomain.com）。

2、检查是否存在 .htaccess 文件；若不存在，右键空白处→【新建文件】，命名为.htaccess。

3、双击编辑该文件，写入以下内容：

<IfModule mod_headers.c>
Header always set X-Content-Type-Options “nosniff”
Header always set X-Frame-Options “DENY”
Header always set X-XSS-Protection “1; mode=block”
Header always set Referrer-Policy “no-referrer-when-downgrade”
Header always set Permissions-Policy “geolocation=(), microphone=(), camera=()”
</IfModule>

4、保存后，确认 Apache 已启用 headers_module：进入【软件商店】→点击 Apache→【设置】→【配置修改】，检查LoadModule headers_module modules/mod_headers.so 是否未被注释（即前面无#）。

四、验证响应头是否生效

配置完成后，必须验证各安全头是否真实返回至客户端，防止因语法错误或作用域限制导致未生效。

1、打开浏览器开发者工具（F12），切换至【Network】标签页，刷新任意页面。

2、点击一个 HTML 资源（如index.html），在右侧【Headers】面板中查看【Response Headers】区域。

3、逐项确认是否存在以下字段及其值：X-Content-Type-Options: nosniff、X-Frame-Options: DENY、X-XSS-Protection: 1; mode=block、Referrer-Policy: no-referrer-when-downgrade、Permissions-Policy: geolocation=(), microphone=(), camera=()。

4、若某字段缺失，检查对应配置中是否拼写错误、是否遗漏 always 参数（Nginx）、或 Apache 模块是否启用。