Iframe 得到一个；X-frame-options设置为“拒绝”；当我不'；我的web.config中没有此设置

我们有一个IIS7网站页面，可通过iframe通过第三方网站访问。直到几天前，Chrome还可以正常工作，出现以下错误：

拒绝在帧中显示“”，因为它设置为 “X帧选项”改为“拒绝”

Edge报告的错误稍有不同，但本质上，它报告无法访问目标网站上的字体

现在我已经检查了

web.config

文件，没有任何地方设置了“x-frame-options”的自定义头，但是我们确实有设置为“1”的“x-xss-protection”头；模式=块'。我试着把那块砖搬走了

X-XSS-Protection 1

但我得到：

加载资源失败：服务器响应状态为400
（请求错误）

我还完全删除了整个x-xss头，这使我回到了原始消息。然后我手动添加

X-Frame-Options Allow-From https://xxxxxx

拒绝在帧中显示“”，因为它设置了多个
具有冲突值的“X-Frame-Options”标题（'拒绝，允许从
'). 回到“否认”

你知道x-frame-options的来源吗？我已经将web.config加载到一个编辑器中，它肯定没有在其中找到该标题

感谢Lex Li，我打开了失败的请求跟踪，并在日志中发现：


但它在哪里引用了x帧选项？Set Cookie标头在my web.config中也不存在，因此它必须位于其他位置

感谢
通过卸载Windows update KB4532931解决了该问题，但由于MS对.net漏洞的描述是通用的（远程执行），因此无法确切确定详细信息。
我们在通过第三方网站通过iframe访问的IIS7网站页面上也出现了同样的错误。我们将问题追溯到应用于web服务器的补丁KB4532931。回滚该补丁修复了问题。我们目前正在寻找一种更持久的解决方案。
HTTP头可以在多个位置设置，因此您不能只关注IIS。启用FRT以查看您的web应用是否生成拒绝标头，iframe加载的页面返回此错误。那么，您是否检查了应用程序本身是否正在添加此标头？在IE中打开失败的请求跟踪，您将看到格式化的报告。此外，你是否升级了你的chrome？应用程序-你是指源应用程序还是目标应用程序？我使用的是Chrome版本79.0.3945.117（官方版本）（64位），我指的是web应用程序的