X-Frame-Options头未设置是一种网站漏洞警告，漏洞类型为跨站脚本攻击（XSS）。目标服务器没有返回一个X-Frame-Options头。X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面，网站可以用这个头来保证他们的内容不会被嵌入到其它网站中，以来避免点击劫持。那么如何设置X-Frame-Options头呢？下面一起看看解决方案

方法1：写一个web.config文件

在网站根目录下创建一个web.config文件（适用于Windows系统），代码如下：

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
 ...

 <httpProtocol>
  <customHeaders>
   <add name="X-Frame-Options" value="SAMEORIGIN" />
  </customHeaders>
 </httpProtocol>

 ...
</system.webServer>
</configuration>

这样就给网站添加X-frame-options响应头，且赋值为SAMEORIGIN。就设置好了X-Frame-Options头。其实SAMEORIGIN的作用是页面只能被本站页面嵌入到iframe或者frame中。

方法2：利用iis服务器进行配置

1. 打开iis服务器，找到相应的网站，双击iis配置里面的“HTTP响应标头”，进入HTTP相应标头设置页面。
   
2. 进入HTTP相应标头设置页面后，点击右边操作里面的“添加”。
   
3. 在新窗口中设置HTTP响应头，名称设置为X-Frame-Options，值设置为SAMEORIGIN，然后点击确认。
   
4. 这样就设置好了X-Frame-Options头。其值为SAMEORIGIN，意思是页面只能被本站页面嵌入到iframe或者frame中。这样就解决了X-Frame-Options头未设置的漏洞。
   

X-Frame-Options头的值有三种，DENY：不能被嵌入到任何iframe或frame中；SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中；ALLOW-FROM uri：只能被嵌入到指定域名的框架中。三种值的设置方法是一样的，只是把上述步骤中的值SAMEORIGIN设置成你想要的一种值就好了。注意只能选择其中一种，不能同时设置两种或更多。