问题现象:安全头在错误页面消失了
很多人在 Nginx 里配置了 HSTS、X-Frame-Options 等安全响应头,用 curl 访问正常页面时一切正常,但一旦访问一个不存在的 URL,返回 404 时,这些安全头全部消失了。
这不是 Nginx 的 bug,而是 add_header 指令的默认行为。
add_header 的默认生效条件
Nginx 官方文档对 add_header 的说明里有一句话:
Adds the specified field to a r...
add_header
-
2026.05.27 | youres | 8次围观
-
2026.05.24 | youres | 14次围观
前言:一个让人抓狂的问题前几天群里有个小伙伴求助:"我在Nginx的location块里配置了add_header,但浏览器开发者工具里死活看不到这个响应头,是不是Nginx的bug?"这个问题我见过太多次了。不是Nginx的bug,而是add_header指令有一些"反直觉"的行为特性,如果不了解这些特性,就会陷入排查的泥潭。今天我们就来彻底搞懂add_header指令失效的5大原因,并给出经过生产环境验证的解决方案。一、陷阱1:if块中的add_header会"屏蔽"外层... -
2026.05.24 | youres | 14次围观
前言:一个让人抓狂的问题前几天群里有个小伙伴求助:"我在Nginx的location块里配置了add_header,但浏览器开发者工具里死活看不到这个响应头,是不是Nginx的bug?"这个问题我见过太多次了。不是Nginx的bug,而是add_header指令有一些"反直觉"的行为特性,如果不了解这些特性,就会陷入排查的泥潭。今天我们就来彻底搞懂add_header指令失效的5大原因,并给出经过生产环境验证的解决方案。一、陷阱1:if块中的add_header会"屏蔽"外层... -
2026.05.24 | youres | 10次围观
目录 add_header继承规则是什么 为什么子级location响应头会丢失 always参数的作用与陷阱 实战:4种常见继承场景 add_header_inherit新指令(1.29.3+) 最佳实践与避坑清单 一、add_header继承规则是什么 Nginx的add_header指令有一条非常关键的继承规则,官方文档原文是: These directives are inherited from the previous configuration le... -
2026.05.24 | youres | 13次围观
什么是 add_header always 参数Nginx 的 add_header 指令默认只对 200/301/302 等成功状态码生效,加上 always 参数后对所有状态码(含 4xx/5xx)都生效。为什么需要 always当后端返回 404 或 500 时,如果没有 always,Nginx 不会输出 add_header 添加的响应头,导致安全头或 CORS 头在错误页面丢失。正确写法add_header X-Frame-Options "SAMEORIGIN"... -
2026.05.23 | youres | 23次围观
问题现象:明明配置了add_header却不生效最近好多运维朋友在配置Nginx安全响应头的时候遇到一个很诡异的问题:明明在server块里配置了通用的add_header指令,又在if块里针对特定条件加了额外的响应头,结果要么if块里的头完全不生效,要么连server块里配置的头都消失了。我自己在刚接触Nginx的时候也踩过这个坑,当时以为是Nginx的bug,查了半天才发现是Nginx的指令继承规则和if块的特殊性质导致的,今天就把这个问题的来龙去脉讲清楚,附上3种彻底解... -
2026.05.23 | youres | 19次围观
什么是CORS跨域 浏览器出于安全考虑,实施同源策略(Same-Origin Policy),禁止网页向不同域名、端口或协议发送请求。CORS(Cross-Origin Resource Sharing,跨源资源共享)就是浏览器提供的一种机制,让服务器声明哪些外部来源可以访问自己的资源。 简单说:没有CORS配置,前端跨域请求会被浏览器拦截;配了CORS,服务器告诉浏览器"我允许这个来源",请求就能正常完成。 为什么用Nginx配CORS 很多人在后端代码里加CORS头,这...