我正在从X-Frame-Options迁移到Content Security Policy以修复点击劫持漏洞。我的应用程序曾经在X-Frame-Options头中设置了SAMEORIGIN策略。在Content-Security-Policy中，相当于哪个选项？

我想禁用我的网站中的X-Frame-Options功能，我希望其他网站无法使用iframe在他们自己的页面上显示我的网页。我的网站由ASP.net MVC3制作，并托管在IIS 7.5上。

抱歉问一个这么初级的问题，但我就是想不明白。我在使用Rails服务器，并且现在需要将其嵌入到iFrame中。我看到了这里和这里讲述如何更改x-frame选项，但就是找不到实际需要去哪里做这件事。我不确定是否需要将其放在应用程序配置文件、Rails配置文件（这对我来说似乎不太可能），但显然我忽略...

这些HTTP头似乎具有相同的功能，尽管后者具有更多的灵活性。Content-Security-Policy提供了额外的安全性吗？