为了预防危害漏洞， Nginx在配置文件里添加了一系列的标头，是通过add_head这个命令，常见的有

http {## 内容安全策略CSPadd_header Content-Security-Policy "default-src 'self'; script-src 'self'; "## 禁止该文件被frameadd_header X-Frame-Options DENY ;
}

但是Nginx的add_head添加的标头只在状态码为2xx，3xx才有效，在4xx，5xx这类状态码会失效。

例如，Nginx添加了内容安全策略CSP

add_header Content-Security-Policy "default-src ‘self’; script-src ‘self’; "

状态码为200，可以看到响应标头配置了Content-Security-Policy ，

如果状态码为400，

可以看到响应标头没有了Content-Security-Policy。我不知道这是不是Nginx的Bug，所以Nginx文档说如果4xx，5xx这些状态码的响应头也能加上add_header配置的信息，必须加上always这个参数，

http {## 内容安全策略CSPadd_header Content-Security-Policy "default-src 'self'; script-src 'self'; " always## 禁止该文件被frameadd_header X-Frame-Options DENY  always;
}

这样子在状态码为4xx，5xx的页面才会配置上add_header设置的信息