1 前言

宝塔面板 https 串站

在这里引用宝塔官方说法：在未指定 SSL 默认站点时,未开启 SSL 的站点使用 HTTPS 会直接访问到已开启 SSL 的站点

相信使用宝塔面板的盆友，应该都遇到过宝塔这个 https 串站问题。很多盆友遇到了，但忽略了它，觉得没啥影响的，就置之不理了...

下面就来说下本文重点了，怎么堵上这个串站、泄露源站 IP 的漏洞。使用宝塔面板的，跟着下面步骤一步步做就 OJBK 了；使用 LNMP 一键包或其它程序的，也可以参考着处理下。

2 新建虚假站点

2.1 新建站点

新建一个不存在的站点，域名填写为：default.default，提交，如下图：

2.2 删除默认文件

点击下图红框，进入此站点根目录，删除里面的默认文件 index.html 和 404.html：