Si vous le définissez, vous ne pouvez le définir que sur DENY, SAMEORIGIN ou ALLOW-FROM (une origine spécifique).
Autoriser tous les domaines est la valeur par défaut. Ne définissez pas le X-Frame-Options en-tête du tout si vous le souhaitez.
Notez que le successeur de X-Frame-Options — frame-ancestors du CSP directive — accepte une liste d'origines autorisées afin que vous puissiez facilement autoriser certaines origines au lieu de aucune, une ou toutes.
ALLOWALL est la valeur par défaut.
Parfois, les frameworks MVC tels que Rails, Laravel, Django, etc., définissent un X_FRAME_OPTIONS sur SAMEORIGIN afin que quelqu'un doive le réinitialiser à l'origine ALLOWALL valeur.