Для предотвращения атак clickjacking я поместил это в web.config:
<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
</system.webServer>
Но моя страница обслуживается по защищенному протоколу https. У меня также есть это в web.config:
<system.web>
<httpCookies requireSSL="true" />
<authentication mode="Forms">
<forms name=".AUTH" loginUrl="Login.aspx" requireSSL="true" />
</authentication>
</system.web>
Интересно, защищена ли моя страница, обслуживаемая по безопасному протоколу, от кликджекинга, даже если пользовательские заголовки находятся внутри раздела httpProtocol?