点击劫持: 无 X-Frame-Options 头信息（修复）

1、点击劫持:无X-Frame-Options头信息

解决办法：（1）打开IIS服务器，找到相应的网站，双击iis配置里面的“HTTP响应标头”，进入HTTP相应标头设置页面；



（2）进入HTTP相应标头设置页面后，点击右边操作里面的“添加”；



（3）在新窗口中设置HTTP响应头，名称设置为X-Frame-Options，值设置为SAMEORIGIN，然后点击确认；

（4）这样就设置好了X-Frame-Options头。其值为SAMEORIGIN，意思是页面只能被本站页面嵌入到iframe或者frame中。这样就解决了X-Frame-Options头未设置的漏洞。

注意：X-Frame-Options头的值其实有三种，DENY：不能被嵌入到任何iframe或frame中；SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中；ALLOW-FROM uri：只能被嵌入到指定域名的框架中。三种值的设置方法是一样的，只是把上述步骤中的值SAMEORIGIN设置成你想要的一种值就好了。注意只能选择其中一种，不能同时设置两种或更多。