Entrare sulla console di IIS
Selezionare HTTP Response Headers
Inserire una nuova entry:
Name: X-Frame-Options
Value: SAMEORIGIN
Riavviare IIS
Per rimuovere il metodo OPTION andare in Request Filtering e impostare un Deny Verb sotto HTTP Verbs nella seguente maniera: