将外部网站加载到iFrame的解决方案，即使外部网站的x帧选项设置为拒绝。

如果你想将其他网站加载到iFrame中，而你得到了X-Frame-Options禁止显示的错误，那么你实际上可以通过创建一个服务器端代理脚本来克服这个问题。

iFrame的src属性可以有这样一个url:/ proxy.php?url=https://www.example.com/page&key=somekey

那么proxy.php看起来就像这样:

if (isValidRequest()) {
   echo file_get_contents($_GET['url']);
}

function isValidRequest() {
    return $_SERVER['REQUEST_METHOD'] === 'GET' && isset($_GET['key']) && 
    $_GET['key'] === 'somekey';
}

这通过传递块，因为它只是一个GET请求，可能是一个普通的浏览器页面访问。

注意:您可能需要改进此脚本中的安全性。因为黑客可以通过你的代理脚本开始加载网页。

网站所有者使用X-Frame-Options响应报头，这样他们的网站就不能在Iframe中打开。这有助于保护用户免受点击劫持攻击

如果你想在自己的机器上禁用X-Frame-Options，可以尝试几种方法。

服务器端配置

如果您拥有服务器或可以与站点所有者合作，那么您可以要求设置一个配置，以根据某些条件不发送Iframe buster响应标头。条件可以是额外的请求头或URL中的参数。

例如，站点所有者可以添加一个额外的代码，当站点打开时不发送Iframe buster报头，使用?in_debug_mode=true查询参数。

使用浏览器扩展，如Requestly删除响应头

您可以使用任何浏览器扩展，如Requestly，它允许您修改请求和响应头。这里有一个Requestly博客，解释了如何在Iframe中嵌入站点，绕过Iframe buster头。

配置一个直通代理，并从它删除标题

如果你需要为多人绕过Iframe buster报头，那么你也可以配置一个直通代理，它只删除帧buster响应报头并返回响应。然而，这是一个非常复杂的编写和设置。还有一些其他的挑战，比如通过代理在Iframe中打开的站点的身份验证等，但这种方法可以很好地用于简单的站点。

PS -我已经建立了这两个解决方案，并有第一手的经验。

有一个Chrome插件，删除头条目(仅供个人使用):

https://chrome.google.com/webstore/detail/ignore-x-frame-headers/gleekbfjekiniecknbkamfmkohkpodhe/reviews

虽然没有提及，但在某些情况下可以有所帮助:

var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
    if (xhr.readyState !== 4) return;
    if (xhr.status === 200) {
        var doc = iframe.contentWindow.document;
        doc.open();
        doc.write(xhr.responseText);
        doc.close();
    }
}
xhr.open('GET', url, true);
xhr.send(null);

我有这个问题，并解决了它编辑httd.conf

<IfModule headers_module>
    <IfVersion >= 2.4.7 >
        Header always setifempty X-Frame-Options GOFORIT
    </IfVersion>
    <IfVersion < 2.4.7 >
        Header always merge X-Frame-Options GOFORIT
    </IfVersion>
</IfModule>

我把SAMEORIGIN改成了GOFORIT 并重新启动服务器

使用下面给出的这一行，而不是header()函数。

echo "<script>window.top.location = 'https://apps.facebook.com/yourappnamespace/';</script>";