X-Frame-Options用作HTTP响应头。
这可以防止站点内容嵌入到其他站点中。
基于这个值，浏览器允许其他站点在iframe中打开web页面。
它还可以保护Apache web服务器免受点击劫持攻击。

设置X-Frame-Options 有三个选项：

‘SAMEORIGIN’ –通过这个设置，你可以嵌入在相同的原点上的页面。
例如，将页面的iframe添加到站点本身。
‘ALLOW-FROM uri –使用此设置来允许特定来源(网站/域)在iframe中嵌入你的网站页面。
‘DENY –这将不允许任何网站嵌入网站页面在iframe。

使用Apache配置设置X-Frame-Options

根据操作系统编辑Apache配置文件。

找到配置文件:
基于Debian的系统: /etc/apache2/conf-enabled/security.conf

基于红帽的系统: /etc/httpd/conf/httpd.conf
现在添加一个以下条目到文件:

允许同源(默认动作)

Header set X-Frame-Options: "SAMEORIGIN"

允许从特定的来源

Header set X-Frame-Options: "ALLOW-FROM http://example.com/" 
Header set X-Frame-Options: "ALLOW-FROM http://www.example.com/" 
Header set X-Frame-Options: "ALLOW-FROM https://example.com/" 
Header set X-Frame-Options: "ALLOW-FROM https://www.example.com/"

拒绝所有人

Header set X-Frame-Options: "DENY"

保存配置文件并重新启动Apache服务以应用更改。

用.htaccess设置X-Frame-Options

网站运行在共享主机环境，我们可能没有特权修改Apache配置。
在这种情况下，你可以创建.htaccess文件在站点根目录，并追加相同的设置如上:

Header append X-Frame-Options: "SAMEORIGIN"