通过web.config设置X-Frame-Options方法实践

X-Frame-Options我们在安全检测的时候经常会爆出轻微漏洞的安全提示，很多文章做了相关的解决方法介绍，当然361模板也不例外，我们在前面也做过《360安全检测提示＂X-Frame-Options头未设置＂的解决方法》和《IIS7.5下如何修复X-Frame-Options头未设置的漏洞》2篇相关的文章介绍，但是部分朋友反馈说自己操作无效，咨询361模板知否有其他的方式方法来解决这个问题。

  361模板在网上收集整理了一些内容，加上自己的测试，一篇《通过web.config设置X-Frame-Options方法实践》文章分享给大家。

<?xml version="1.0" encoding="UTF-8"?><configuration><connectionStrings>  <add name="ApplicationServices" connectionString="data source=./SQLEXPRESS;Integrated Security=SSPI;AttachDBFilename=|DataDirectory|/aspnetdb.mdf;User Instance=true" providerName="System.Data.SqlClient" /></connectionStrings><system.web><compilation debug="true" targetFramework="4.0" /><authentication mode="Forms">  <forms loginUrl="~/Account/Login.aspx" timeout="2880" /></authentication></system.web><system.webServer><httpProtocol>  <customHeaders>    <add name="X-Frame-Options" value="SAMEORIGIN" />  </customHeaders></httpProtocol></system.webServer></configuration>

仔细查看上面的代码，需要注意：

<httpProtocol>...</httpProtocol> 整块代码一定要放到 <system.webServer>...</system.webServer> 里面。

尤其要注意的是

<system.webServer>...</system.webServer> 与 <system.web>...</system.web> 是并列的代码块，相互不能被包含。

有朋友测试发下,web.config 设置 X-Frame-Options 无效!!

究其原因如下

web.config 设置 X-Frame-Options 无效的原因

如果遇到 web.config 设置 X-Frame-Options 无效的情况，请确认自己已经重启了IIS。如果不行，试试下面的代码：

<system.webServer>  <httpProtocol>    <customHeaders>      <add name="Content-Security-Policy" value="default-src: https:; frame-ancestors 'self' X-Frame-Options: SAMEORIGIN" />    </customHeaders>  </httpProtocol></system.webServer>

上述代码分析：

您的 web.config 条目需要在 Content-Security-Policy （内容安全策略）下才能使用之前没有折旧的编码。 

value ="default-src: https:"内容安全策略下的值对您的网站是唯一的。

重要的内容是 'value =“default-src: https:' 后面的内容，但最重要的是包含在内容安全策略中。

如果不明白说讲述的内容，建议直接忽略，能用得起来就行，至于含义能理解就理解，理解不了也无所谓。