本文似乎建议ASP.NET MVC 5网站自动将X-Frame-Options HTTP标头发送带有值SAMEORIGIN。
我默认情况下,我观察到这不是我的网站。
即使添加以下代码,如果默认行为是发送标头的话,这是不必要的。
AntiForgeryConfig.SuppressXFrameOptionsHeader = false;
我可以添加一个操作过滤器属性并明确执行此操作。但是我想知道,如果我想默认使用SAMEORIGIN值发送该标头?
我正在使用ASP.NET MVC 5.2.4 Targeting .NET Framework 4.6.1。
如果您在视图上使用 @Html.AntiForgeryToken(),它将默认情况下添加。如果您不使用它,则需要明确添加此标头,例如在操作过滤器属性中。