前言：经常有相关部门检测某网站提示有漏洞需要修复,比如检测出现 “X-Frame-Options Header未配置”的漏洞,该漏洞其实算不上漏洞,X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。
修复方法：
如下是IIS及apache及nginx 三种常见的web服务修复方法;
1、IIS下修复方法：
IIS 发送 X-Frame-Options 响应头，添加下面的配置到 Web.config 文件中：（若web.config有其他代码,请注意添加到合理位置）

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="sameorigin" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>

2、Apache修复方法：
配置 Apache 在所有页面上发送 X-Frame-Options 响应头，需要把下面这行添加到 'site' 的配置中:（一般只需要填写如下即可,）

Header always set X-Frame-Options "sameorigin"

若要设置为deny或 allow-from 可参考如下方法
要将 Apache 的配置 X-Frame-Options 设置成 deny , 按如下配置去设置你的站点：

Header set X-Frame-Options "deny"

要将 Apache 的配置 X-Frame-Options 设置成 allow-from，在配置里添加：

Header set X-Frame-Options "allow-from https://example.com/"

3、Nginx修复方法：
nginx 发送 X-Frame-Options 响应头，把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options sameorigin always;