X-Frame-Options无法运行IIS web.config

由于我的评论在这里回答了问题的最终结果：

出于某种原因，在web.config中设置X-Frame-Options似乎并没有实际工作，即使文档使它听起来应该是这样。

一个简单的解决方法是使用以下方法手动设置标题：

Response.AddHeader("X-Frame-Options", "DENY");

如果您对每个请求都需要此设置而没有例外，则可以将Application_BeginRequest添加到Global.asax：

protected void Application_BeginRequest()
{
    Response.AddHeader("X-Frame-Options", "DENY");
}

X-Frame-Options标头可用于控制是否可以将页面放在IFRAME中。由于Framesniffing技术依赖于能够将受害者站点放置在IFRAME中，因此Web应用程序可以通过发送适当的X-Frame-Options标头来保护自己。

若要配置IIS以将X-Frame-Options标头添加到给定站点的所有响应，请按照下列步骤操作：

1. 打开Internet信息服务（IIS）管理器。
2. 在左侧的“连接”窗格中，展开“站点”文件夹，然后选择要保护的站点。
3. 双击中间功能列表中的HTTP Response Headers图标。
4. 在右侧的“操作”窗格中，单击“添加”。
5. 在出现的对话框中，在“名称”字段中键入X-Frame-Options，然后在“值”字段中键入SAMEORIGIN或DENY。
6. 单击“确定”保存更改。

siva.k的答案与MVC5无关，因为此处生成了两次标题。以下代码应该有效：

protected void Application_Start()
{
  //  MVC5 generates the "X-Frame-Options SAMEORIGIN" header by default, the following line disables the default behaviour
  System.Web.Helpers.AntiForgeryConfig.SuppressXFrameOptionsHeader = true;
}

protected void Application_BeginRequest() 
{
  Response.AddHeader("X-Frame-Options", "DENY");
}

这里提到了SuppressXFrameOptionsHeader旗：https://stackoverflow.com/a/20262211/3936440

这是另一件需要考虑的事情：

如果您有单独的后端和UI项目（这对于基于REST的站点非常常见），请确保将X-Frame-Options放在UI web.config中。您的API可能允许跨站点调用，因此向API项目添加标头是没有意义的。

我发现一些文件类型（.asp和.htm文件）正在通过此机制添加X-Frame-Options标头，而其他（.js）则没有。使用IIS Admin实用程序，我从应用程序级别删除了标头，并在服务器级别添加了标头，然后所有文件都添加了标头。

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <add name="Content-Security-Policy" value="default-src: https:; frame-ancestors 'self' X-Frame-Options: SAMEORIGIN" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

您的web.config条目需要在内容安全策略下才能使用以前未折旧的当前编码。 value="default-src: https:内容安全政策下的价值是您网站所独有的。

重要的内容是'value =“default-src：https：'之后的内容，但最重要的是包含在内容安全策略中。