Od http://msdn.microsoft.com/en-us/library/cc288472(v=vs.85).aspx#search
Ochrona przed kliknięciem: Niektórzy hakerzy próbują nakłonić użytkowników do kliknięcia przycisków, które wyglądają na p wymazywać bezpieczne lub nieszkodliwe funkcje, ale zamiast tego wykonywać niepowiązane zadania. Clickjackerzy osadzają złośliwy kod lub "przywracają" interfejs użytkownika za pomocą przezroczystych ramek, które nakładają się na określone elementy interfejsu użytkownika z wprowadzającymi w błąd tekstami i obrazami. Aby zapobiec blokowaniu kliknięć, właściciele witryn sieci Web mogą wysyłać nagłówek odpowiedzi HTTP o nazwie X-Frame-Options ze stronami HTML, aby ograniczyć sposób, w jaki strona może być oprawiona.
X-Frame-Options: Deny
Jeżeli wartość X ramowe opcji zawiera token Odmowa Internet Explorer 8 zapobiega strony z renderowania, jeśli jest zawarty w ramce. Jeśli wartość zawiera token SameOrigin, program Internet Explorer nie wyrenderuje strony, jeśli kontekst przeglądania najwyższego poziomu różni się od pochodzenia strony zawierającej dyrektywę. Zablokowane strony zostają zastąpione stroną błędu "Ta treść nie może być wyświetlana w ramce".
Czy 'SameOrigin' zaakceptować subdomen? – Pacerier
@Pacerier Nie wierzę tak: http://en.wikipedia.org/wiki/Same_origin_policy#Origin_determination_rules – wkm