我使用的是Tomcat 8.0.30，没有一个建议对我有效。当我们希望更新X-Frame-Options并将其设置为允许时，以下是我如何配置允许嵌入iframes:

进入Tomcat conf目录，编辑web.xml文件 添加下面的过滤器:

<filter>
            <filter-name>httpHeaderSecurity</filter-name>
            <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
                   <init-param>
                           <param-name>hstsEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingOption</param-name>
                           <param-value>ALLOW-FROM</param-value>
                   </init-param>
            <async-supported>true</async-supported>
       </filter>

       <filter-mapping>
                   <filter-name>httpHeaderSecurity</filter-name>
                   <url-pattern>/*</url-pattern>
                   <dispatcher>REQUEST</dispatcher>
       </filter-mapping> 

重启Tomcat服务 使用iFrame访问资源。

我在mediawiki上遇到了同样的问题，这是因为服务器出于安全原因拒绝将页面嵌入到iframe中。

我写了

$wgEditPageFrameOptions = "SAMEORIGIN"; 

导入mediawiki PHP配置文件。

希望能有所帮助。

唯一真正的答案，如果你不控制你想在iframe中的源的头，就是代理它。让服务器充当客户端，接收源，去除有问题的头，如果需要添加CORS，然后ping您自己的服务器。

还有一个解释如何编写这样一个代理的答案。这并不难，但我相信以前一定有人这么做过。只是因为某些原因，很难找到它。

我终于找到了一些资料来源:

https://github.com/Rob--W/cors-anywhere/#documentation

^者优先。如果你需要很少使用，我认为你可以使用他的heroku应用程序。否则，这是在你自己的服务器上运行它的代码。注意限制是什么。

whateverorigin.org

^第二选择，但相当古老。应该是python中的新选择:https://github.com/Eiledon/alloworigin

还有第三种选择:

http://anyorigin.com/

这似乎允许一些免费使用，但如果你不付钱，使用一些不确定的数量，你就会被列入公众的耻辱名单，只有在你付钱的情况下，你才能被删除……

唯一一个有一堆答案的问题。欢迎来到这个指南，我希望我在最后期限那天晚上10:30为它工作时能有这个指南……facebook在canvas应用上做了一些奇怪的事情，好吧，你已经被警告过了。如果你还在这里，你有一个Rails应用程序将出现在Facebook Canvas后面，那么你将需要:

Gemfile:

gem "rack-facebook-signed-request", :git => 'git://github.com/cmer/rack-facebook-signed-request.git'

配置/ facebook.yml

facebook:
  key: "123123123123"
  secret: "123123123123123123secret12312"

配置/ application.rb

config.middleware.use Rack::Facebook::SignedRequest, app_id: "123123123123", secret: "123123123123123123secret12312", inject_facebook: false

配置/初始化/ omniauth.rb

OmniAuth.config.logger = Rails.logger
SERVICES = YAML.load(File.open("#{::Rails.root}/config/oauth.yml").read)
Rails.application.config.middleware.use OmniAuth::Builder do
  provider :facebook, SERVICES['facebook']['key'], SERVICES['facebook']['secret'], iframe:   true
end

application_controller.rb

before_filter :add_xframe
def add_xframe
  headers['X-Frame-Options'] = 'GOFORIT'
end

你需要一个控制器来调用Facebook的画布设置，我使用/canvas/，并使路由到这个应用程序的主SiteController:

class SiteController < ApplicationController
  def index
    @user = User.new
  end
  def canvas
    redirect_to '/auth/failure' if request.params['error'] == 'access_denied'
    url = params['code'] ? "/auth/facebook?signed_request=#{params['signed_request']}&state=canvas" : "/login"
    redirect_to url
  end
  def login
  end
end

login.html.erb

<% content_for :javascript do %>
  var oauth_url = 'https://www.facebook.com/dialog/oauth/';
  oauth_url += '?client_id=471466299609256';
  oauth_url += '&redirect_uri=' + encodeURIComponent('https://apps.facebook.com/wellbeingtracker/');
  oauth_url += '&scope=email,status_update,publish_stream';
console.log(oauth_url);
  top.location.href = oauth_url;
<% end %>

来源

配置我认为来自omniauth的例子。 宝石文件(这是关键!!)来自:slideshare things i learned… 这个堆栈问题有整个Xframe的角度，所以你会得到一个空白，如果 你不需要把这个头文件放到应用控制器中。 我的男人@rafmagana写了这个heroku指南，现在你可以用这个答案来做轨道，也可以用巨人的肩膀走路。

X-Frame-Options Allow-From https://..。如果使用Content-Security-Policy报头，则会被替换(并被忽略)。

这里是完整的参考资料:https://content-security-policy.com/

我几乎尝试了所有的建议。然而，唯一真正解决这个问题的是:

在PHP文件所在的文件夹中创建一个.htaccess文件。 将这一行添加到htaccess: 报头总是不设置x帧选项

通过来自另一个域的iframe嵌入PHP之后应该可以工作。

此外，你可以在你的PHP文件的开头添加:

header('X-Frame-Options: ALLOW');

然而，在我的情况下，这是不必要的。