X-Frame-Options头未设置,如何设置？

1、在网站根目录下创建一个web.config文件（适用于Windows系统），代码如下：

<?xml version="1.0" encoding="UTF-8"?>

<configuration>

    <system.webServer>

 ...

 <httpProtocol>

  <customHeaders>

   <add name="X-Frame-Options" value="SAMEORIGIN" />

  </customHeaders>

 </httpProtocol>

 ...

</system.webServer>

</configuration>

这样就给网站添加X-frame-options响应头，且赋值为SAMEORIGIN。就设置好了X-Frame-Options头。其实SAMEORIGIN的作用是页面只能被本站页面嵌入到iframe或者frame中。

1、打开iis服务器，找到相应的网站，双击iis配置里面的“HTTP响应标头”，进入HTTP相应标头设置页面。

2、进入HTTP相应标头设置页面后，点击右边操作里面的“添加”。

3、在新窗口中设置HTTP响应头，名称设置为X-Frame-Options，值设置为SAMEORIGIN，然后点击确认。

4、这样就设置好了X-Frame-Options头。其值为SAMEORIGIN，意思是页面只能被本站页面嵌入到iframe或者frame中。这样就解决了X-Frame-Options头未设置的漏洞。