X-Frame-Options头未设置是一种网站漏洞警告，漏洞类型为跨站脚本攻击（XSS）。目标服务器没有返回一个X-Frame-Options头。X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面，网站可以用这个头来保证他们的内容不会被嵌入到其它网站中，以来避免点击劫持。那么如何设置X-Frame-Options头呢？下面一起看看解决方案。


在网站根目录下创建一个web.config文件（适用于Windows系统），代码如下：

 

<?xml version="1.0" encoding="UTF-8"?>

 

<configuration>

 

    <system.webServer>

 

 ...

 

 

 

 <httpProtocol>

 

  <customHeaders>

 

   <add name="X-Frame-Options" value="SAMEORIGIN" />

 

  </customHeaders>

 

 </httpProtocol>

 

 

 

 ...

 

</system.webServer>

 

</configuration>

 

这样就给网站添加X-frame-options响应头，且赋值为SAMEORIGIN。就设置好了X-Frame-Options头。其实SAMEORIGIN的作用是页面只能被本站页面嵌入到iframe或者frame中。