近日网站在安全检查，送检的网站被反馈有以下问题

X-Frame-Options Header未配置

漏洞描述： 弱点描述： X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示，以此 使网站内容不被其他站点引用和免于点击劫持攻击。

修复和改进建议： 一般性的建议： 给您的网站添加X-Frame-Options响应头，赋值有如下三种，1、DENY：无论如何不在框架中显示；2、SAMEORIGIN： 仅在同源域名下的框架中显示；3、ALLOW-FROM uri：仅在指定域名下的框架中显示。如Apache修改配置文件 添加“Header always append X-Frame-Options SAMEORIGIN”；Nginx修改配置文件“add_header X-Frame-Options SAMEORIGIN;”。

解决办法：在web.config添加以下配置

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>