X-Frame-Options HTTP響應頭是用來確認是否瀏覽器可以在frame或iframe標簽中渲染一個頁面，網站可以用這個頭來保證他們的內容不會被嵌入到其它網站中，以來避免點擊劫持。 攻擊者可以使用一個透明的、不可見的iframe，覆蓋在目標網頁上，然后誘使用戶在該網頁上進行操作，此時用戶將在不知情的情況下點擊透明的iframe頁面。通過調整iframe頁面的位置，可以誘使用戶恰好點擊iframe頁面的一些功能性按鈕上，導致被劫持。

X-Frame-Options頭未設置怎么辦

修改web服務器配置，添加X-frame-options響應頭。賦值有常用的有如下三種方法：

（1）DENY：不能被嵌入到任何iframe或frame中。

（2）SAMEORIGIN：頁面只能被本站頁面嵌入到iframe或者frame中。

（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。 也可在代碼中加入，在PHP中加入： header('X-Frame-Options: deny');

IIS7.5下如何處理:

IIS7.5，我們可以快速的處理掉這個小漏洞，打開web.config文件，在之</system.webServer>前加上如下代碼：

<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>

就可以了