X-Frame-Options

在 HTTP 响应头中，有个 X-Frame-Options 字段，代表着浏览器是否能够将当前页面在 <frame>``<iframe>``<embed>``<object>中渲染。

目前，X-Frame-Options 可以取下面两个值
DENY
表示不允许浏览器在上述标签中渲染

SAMEORIGIN

只有父frame同源的页面才可以渲染。

还有一个指定源 ALLOW-FROM=url，目前已不推荐使用，现代浏览器已不支持该参数。

在 IIS中，可以这样设置 X-Frame-Options 头：

<system.webServer>
  …

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  …
</system.webServer>