X-Frame-Options说明 转

转自：https://www.cnblogs.com/cpw6/p/13214094.html

iframe嵌入第三方系统时访问报错：

in a frame because it set 'X-Frame-Options' to 'sameorigin'

经排查，发现是中间件配置了响应头，这样浏览器会依据X-Frame-Options的值来控制iframe框架的页面是否允许加载显示出来

add_header X-Frame-Options SAMEORIGIN;

（1）DENY：不能被嵌入到任何iframe或frame中。

（2）SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中。

（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。

（4）AllowAll：允许所有站点内嵌。