今天在网上浪了许久，只是为了找一个很简单的配置，却奈何怎么都找不到。

好不容易找到了，我觉得还是记录下来的好，或许省得许多人像我一样浪费时间。

1.X-Frame-Options

如果网站可以嵌入到IFRAME元素中，则攻击者可以在社交场合设计一种情况，即受害者被指向攻击者控制的网站，该网站构成目标网站的框架。然后攻击者可以操纵受害者在目标网站上不知不觉地执行操作。即使有跨站点请求伪造保护，这种攻击也是可能的，并且被称为“clickjacking”，有关更多信息，请参阅

 <httpProtocol>      <customHeaders>        <add name="X-Content-Type-Options" value="nosniff" />      </customHeaders>    </httpProtocol>  </system.webServer>

4.X-XSS-Protection

现代浏览器包括一项有助于防止反映跨站点脚本攻击的功能，称为XSS过滤器。“X-XSS-Protection”标头可用于启用或禁用此内置功能（目前仅在Internet Explorer，Chrome和Safari中支持此功能）。

建议的配置是将此标头设置为以下值，这将启用XSS保护并指示浏览器在从用户输入插入恶意脚本时阻止响应，而不是清理：

X-XSS-Protection：1; mode = block。 

如果没有从服务器发送“X-XSS-Protection”标头，Internet Explorer和Chrome将默认清理任何恶意数据。

请注意，X-XSS-Protection标头已被弃用，将被内容安全策略中的Reflected-XSS指令取代，该指令仍处于活动开发阶段。但是，“X-XSS-Protection”标题目前有更广泛的支持，因此仍应实施安全措施。