В чит-листах защиты Clickjacking OWASP рекомендует установить заголовок X-Frame-Options для всех ответов, содержащих HTML-контент, но я не уверен, что это необходимо установить этот заголовок также 404 Not Found страницы, которая содержит только это содержание HTML (без ссылок):Нужно ли устанавливать X-Frame-опции для 404 не найденных страниц
<html><head><title>Error</title></head><body>404 - Not Found</body></html>