2022.2.18：
宝塔终于修复这个问题了，从宝塔面板V7.9.0 开始，可以前往“网站-安全设置”里开启“https 防窜站”功能。
从宝塔面板 V8.0 开始，可以前往“网站-高级设置”里开启“HTTPS 防窜站”功能。

参考教程转载自：https://www.yydsym.com/tutorial/other/11152.html

也就是说8.0及以后的版本去开启那个功能就行，忽略本教程

1 前言

宝塔面板 HTTPS 串站问题，这里引用宝塔官方说法：在未指定 SSL 默认站点时，未开启 SSL 的站点使用 HTTPS 会直接访问到已开启 SSL 的站点。

相信使用宝塔面板的朋友，应该都遇到过宝塔这个 HTTPS 串站问题。很多朋友遇到了，但忽略了它，觉得没啥影响，就置之不理了……

置之不理肯定是不行的，不能抱有掩耳盗铃的侥幸心理，这个漏洞存在不小的安全风险。先不说串站可能会影响 SEO 收录，更重要的是它会导致源站 IP 泄露，即便使用了 CDN 也无法避免！

至于源站 IP 如何泄露，简单说明：可以直接通过 https://服务器IP 地址访问，Nginx 会向浏览器发送默认的 SSL 证书，通过查看证书详情即可找到对应域名。详细了解可参考下方参考文章 1。

本文重点讲解如何封堵串站、源站 IP 泄露漏洞。使用宝塔面板的可按以下步骤操作；使用 LNMP 一键包或其他环境的，也可参考处理。

2 新建虚假站点

2.1 新建站点

新建一个不存在的站点，域名填写为：default.default，提交即可。

2.2 删除默认文件

进入该站点根目录，删除目录内默认文件 index.html 和 404.html。

3 配置 SSL 证书

回到宝塔「网站管理」，找到 default.default 站点，点击「设置」进入网站配置，再切换至「SSL」选项。

在密钥和证书栏填写对应内容，填写完成后点击保存。

左边的“密钥(KEY)”填：

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

右边的“证书(PEM 格式)”填：

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

4 设置为默认站点

回到宝塔“网站管理”，如下图，将上面建立的这个站点设置为默认站点，提交：

5 校验配置结果

至此，设置全部结束，访问 https://你服务器 IP，如果浏览器提示下图这样（“高级”里看不到自己服务器上的网站域名）或者显示“403 Forbidden”，那么恭喜你，漏洞已被堵上了！如果能访问到你网站，那么也“恭喜你”，你中这漏洞了~