Как можно манипулировать HTTP-заголовком x-frame-options ADFS 3?

По умолчанию ответы ADFS 3 содержат заголовок HTTP "X-Frame-Options: DENY". Это предотвращает запуск ADFS в iframe, потому что это дает возможность для атак с использованием щелчка.

Однако в настоящее время моя компания внедряет интеграцию, в которой следует сделать исключение из этого правила безопасности: страницы определенного домена должны иметь возможность встраивать ADFS в iframe.

Однако кажется, что ADFS не позволяет изменить это из коробки. Итак, каков наилучший способ изменить этот заголовок HTTP?

Например, как предложено в RFC ( https://tools.ietf.org/html/rfc7034)?

1. Страница, которая хочет отобразить запрошенный контент во фрейме, предоставляет свою собственную информацию о происхождении серверу, предоставляя контент, который должен быть сформирован с помощью параметра строки запроса.

2. Сервер проверяет, соответствует ли имя хоста его критериям, и разрешается ли создание страницы целевым ресурсом. Это может, например, произойти с помощью поиска в белом списке доверенных доменных имен, которым разрешено обрамлять страницу. Например, для кнопки "Мне нравится" на Facebook сервер может проверить, чтобы убедиться, что указанное имя хоста соответствует имени (ям) хоста, ожидаемому для этой кнопки "Нравится".

3. Сервер возвращает имя хоста в "X-Frame-Options: ALLOW-FROM", если на шаге № 2 были соблюдены надлежащие критерии.

4. Браузер использует заголовок "X-Frame-Options: ALLOW-FROM".