Wenn Sie es festlegen, können Sie es nur auf DENY, SAMEORIGIN oder ALLOW-FROM (ein bestimmter Ursprung) festlegen.
Das Zulassen aller Domänen ist die Standardeinstellung. Setzen Sie nicht den X-Frame-Options Überschrift überhaupt, wenn Sie das wollen.
Beachten Sie, dass der Nachfolger von X-Frame-Options — CSPs frame-ancestors Direktive — akzeptiert eine Liste zulässiger Ursprünge, sodass Sie einige ganz einfach zulassen können Ursprünge anstelle von keiner, einer oder allen.
ALLOWALL ist der Standardwert.
Manchmal setzen MVC-Frameworks wie Rails, Laravel, Django usw. ein X_FRAME_OPTIONS auf SAMEORIGIN, sodass jemand es möglicherweise auf den Ursprung ALLOWALL zurücksetzen muss Wert.