X-Frame-Options
The X-Frame-Options HTTP response header can be used to indicate whether or not a browser should be allowed to render a page in a <frame>, <iframe>, <embed> or <object>. Sites can use this to avoid click-jacking attacks, by ensuring that their content is not embedded into other sites.
The added security is provided only if the user accessing the document is using a browser that supports X-Frame-Options.
Тоесть если этого заголовка нет вообще - значит браузеру разрешается всё.
Если заголовок идёт со значением SAMEORIGIN - значит разрешается встраивать iframe только если совпадает урл сайта.
Если заголовок идёт со значением DENY - значит браузеру вообще запрещается рендерить сайт в frame / iframe / embed / object.
Вывод: если указать значение SAMEORIGIN, то источником click-jack attack может быть только твой собственный сайт.
Получается, ты будешь уязвим, только если вдруг злоумышленник встроит такую атаку на твой сайт, что возможно только если твой сайт подвержен атакам html-injection или js-injection.
Если тебе не нужно встраивать нигде на твоём сайте iframe с твоим же сайтом - используй значение DENY чтобы уменьшить возможную площадь для атаки.
Средний
Средний