iis的http响应标头设置了X-Frame-Options不起作用

iis的http响应标头设置了X-Frame-Options，值为SAMEORIGIN，通过查看response headers里面有两个X-Frame-Options的设置，如何去掉deny的这条……

这个是iis设置X-Frame-Options的链接
bash https://blog.csdn.net/weixin_42596182/article/details/130991548bash
另外要确认下从你电脑发起到IIS服务器，这中间是否还经过了其它的web设备，如果有经过其它的web设备，可能是中间的这个设备附加的X-Frame-Options deny头
如果没有的话，那就是IIS配置问题。

https://blog.csdn.net/qq_28669073/article/details/112796440   这个链接说不定能帮到你。
```bash

【相关推荐】

• 这篇文章：HTTP 配置响应头部 X-Frame-Options 也许有你想要的答案，你可以看看
• 除此之外, 这篇博客: 安全相关的Http响应头中的 X-Frame-Options 部分也许能够解决你的问题, 你可以仔细阅读以下内容或跳转源博客中阅读:
  

  X-Frame-Options 是为了减少点击劫持（Clickjacking）而引入的一个响应头。Chrome4+、Firefox3.6.9+、IE8+均支持，详细的浏览器支持情况

  看这里。

  使用方式如下：

  x-frame-options: SAMEORIGIN
  

  这个响应头支持三种配置：

  • DENY：不允许被任何页面嵌入；
  • SAMEORIGIN：不允许被本域以外的页面嵌入；
  • ALLOW-FROM uri：不允许被指定的域名以外的页面嵌入（Chrome现阶段不支持）；

  原文链接

  如果某页面被不被允许的页面以<iframe>或<frame>的形式嵌入，IE会显示类似于“此内容无法在框架中显示”的提示信息，Chrome和Firefox都会在控制台打印信息。由于嵌入的页面不会加载，这就减少了点击劫持的发生。

如果你已经解决了该问题, 非常希望你能够分享一下解决方案, 写成博客, 将相关链接放在评论区, 以帮助更多的人 ^-^