覆盖 IIS 响应标头

由于我在同一个 IIS 实例上托管多个网站，因此我在 IIS 设置中定义了 HTTP 响应标头“X-Frame-Options: DENY”，以确保我的客户端（及其客户端）免受点击劫持。

我目前正在电子商务网站上使用 WebForms，我需要删除特定 url 上的“X-Frame-Options”响应标头（我的支付提供商的回调）。

我编写了一个HTTP模块（参见下面的代码）并将其注册到我的电子商务网站的“web.config”中，该代码可以工作，但似乎IIS在执行我的HttpModule后添加了响应标头。

public class XFrameOptionsControl : IHttpModule
{
  public void Dispose()
  {
  }

  public void Init(HttpApplication application)
  {
    application.PreSendRequestHeaders += new EventHandler(PreSendRequestHeaders);
  }

  private void PreSendRequestHeaders(object sender, EventArgs e)
  {
    HttpApplication application = sender as HttpApplication;
    HttpContext context = application.Context;

    string callbackDocumentName = "callback.html";

    if (callbackDocumentName != null)
    {
      if (!context.Request.RawUrl.ToLower().Contains(callbackDocumentName.ToLower()))
      {
        context.Response.Headers.Remove("X-Frame-Options");
      }
    }
  }
}

通常，“callbackDocumentName”是从“web.config”中检索的，但我确实在示例中对其进行了简化。我尝试使用 Visual Studio 进行调试，“context.Response.Headers”包含以下标头，但不包含“X-Frame-Options”：

• 缓存控制
• 内容类型
• 服务器
• X-AspNet-版本

提前致谢！