X-Frame-Options不适用于所有页面的100%

时间:2019-01-30 23:11:41

标签: iis http-headers x-frame-options

我有些奇怪(至少对我来说),希望获得一些帮助。

我有我的网站https://www.myweb.com(例如),当我访问该网站时,我被重定向到登录页面https://www.myweb.com/Account/Logon,很好。

我得到一个报告,说我的网站缺少X-Frame-Options,因此我正在检查它以及何时运行此命令:

curl -I https://www.myweb.com =我看不到“选项”,但是运行此命令时: curl -I https://www.myweb.com/Account/Logon =我确实在此处看到了选项。

但是,该报告说我在此URL中缺少指令: https://myweb.com/Error/Error?aspxerrorpath=/bundles/

要访问上面的URL,我不需要进行身份验证。

所以,我的问题是:

  • 为什么我在该URL中看不到选项?
  • 如何应用将在整个网站/页面中完成的配置?

我正在运行IIS和ASP。

谢谢!

1 个答案:

答案 0 :(得分:0)

据我所知,有多种方法可以通过使用javascript,webconfig,服务器代码等在响应标头中添加X-Frame-Options。

如果要配置IIS发送X-Frame-Options标头,请将其添加到站点的Web.config文件中:

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="sameorigin" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>