如果你在YouTube视频中遇到这个错误，不要使用完整的url，而是使用共享选项中的嵌入url。它看起来像http://www.youtube.com/embed/eCfDxZxTBW4

您还可以更换手表吗?v= with embed/ so http://www.youtube.com/watch?v=eCfDxZxTBW4变成http://www.youtube.com/embed/eCfDxZxTBW4

有一个Chrome插件，删除头条目(仅供个人使用):

https://chrome.google.com/webstore/detail/ignore-x-frame-headers/gleekbfjekiniecknbkamfmkohkpodhe/reviews

更新2019:您可以使用客户端JavaScript和我的X-Frame-Bypass Web组件绕过<iframe>中的X-Frame-Options。下面是一个演示:x帧旁路中的黑客新闻。(在Chrome和Firefox中测试。)

我有一个类似的问题，我试图在一个iframe中显示我们自己网站的内容(作为一个带有Colorbox的lightbox样式的对话框)，并且我们在源服务器上有一个服务器范围的“X-Frame-Options SAMEORIGIN”报头，防止它加载到我们的测试服务器上。

这似乎没有被记录在任何地方，但如果你可以编辑你试图iframe的页面(例如。，它们是你自己的页面)，简单地发送另一个X-Frame-Options报头，任何字符串都禁用SAMEORIGIN或DENY命令。

如。对于PHP，放入

<?php
    header('X-Frame-Options: GOFORIT'); 
?>

在页面的顶部会使浏览器将两者结合起来，从而导致页眉为

X-Frame-Options SAMEORIGIN, GOFORIT

.．.并允许您在iframe中加载页面。当初始的SAMEORIGIN命令设置在服务器级别时，这似乎可以工作，并且您希望在逐页情况下重写它。

祝你一切顺利!

唯一真正的答案，如果你不控制你想在iframe中的源的头，就是代理它。让服务器充当客户端，接收源，去除有问题的头，如果需要添加CORS，然后ping您自己的服务器。

还有一个解释如何编写这样一个代理的答案。这并不难，但我相信以前一定有人这么做过。只是因为某些原因，很难找到它。

我终于找到了一些资料来源:

https://github.com/Rob--W/cors-anywhere/#documentation

^者优先。如果你需要很少使用，我认为你可以使用他的heroku应用程序。否则，这是在你自己的服务器上运行它的代码。注意限制是什么。

whateverorigin.org

^第二选择，但相当古老。应该是python中的新选择:https://github.com/Eiledon/alloworigin

还有第三种选择:

http://anyorigin.com/

这似乎允许一些免费使用，但如果你不付钱，使用一些不确定的数量，你就会被列入公众的耻辱名单，只有在你付钱的情况下，你才能被删除……

X-Frame-Options Allow-From https://..。如果使用Content-Security-Policy报头，则会被替换(并被忽略)。

这里是完整的参考资料:https://content-security-policy.com/