X-Frame-Options är en HTTP-inställning som används för att ange om och hur en webbsida får bäddas in i en s.k. iframe på en annan webbplats.

Syftet är att skydda mot klickkapningsattacker, där användare luras att klicka på dolda eller manipulerade knappar ellerlänkar.

Genom att sätta X-Frame-Options till värden som DENY eller SAMEORIGIN kan webbplatsägare förhindra att deras innehåll används i skadliga sammanhang. Inställningen är ett viktigt, men i dag ofta kompletterat, säkerhetsskydd tillsammans med CSP.