(我重新提出这个答案是因为我想分享我为解决这个问题而创建的变通方法)

如果您无法访问在<iframe>元素中托管您想要服务的网页的网站，您可以通过使用启用cors的反向代理来绕过X-Frame-Options SAMEORIGIN限制，该反向代理可以从web服务器(上游)请求web页面并将它们提供给最终用户。

下面是这个概念的可视化图表:

由于我对我发现的CORS代理不满意，我最终自己创建了一个，我称之为CORSflare:它被设计为在Cloudflare Worker(无服务器计算)中运行，因此它是一个100%免费的解决方案-只要你不需要它每天接受超过100,000个请求。

你可以在GitHub上找到代理源代码;完整的文档，包括安装说明，可以在我博客的这篇文章中找到。

你可以在你想要载入iframe的站点的web配置中设置x-frame选项

<httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="*" />
    </customHeaders>
  </httpProtocol>

X-Frame-Options HTTP响应报头可用于指示浏览器是否应允许在<frame>， <iframe>或<object>中呈现页面。网站可以通过确保他们的内容没有嵌入到其他网站来避免点击劫持攻击。

欲了解更多信息: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

对于这个问题，我有一个替代的解决方案，我将使用PHP演示:

iframe.php:

<iframe src="target_url.php" width="925" height="2400" frameborder="0" ></iframe>

target_url.php:

<?php 
  echo file_get_contents("http://www.example.com");
?>

你不能在iframe上设置X-Frame-Options。这是由向其请求资源的域(示例中为google.com.ua)设置的响应标头。在本例中，他们将报头设置为SAMEORIGIN，这意味着他们不允许在域外的iframe中加载资源。有关更多信息，请参阅MDN上的X-Frame-Options响应报头。

快速检查标题(在Chrome开发工具中显示)显示X-Frame-Options值从主机返回。

您可以在tomcat实例级配置文件(web.xml)中执行此操作。 需要在web.xml配置文件中添加“过滤器”和“过滤器映射”。 这将在所有页面中添加[X-frame-options = DENY]，因为这是一个全局设置。

<filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
        <init-param>
          <param-name>antiClickJackingEnabled</param-name>
          <param-value>true</param-value>
        </init-param>
        <init-param>
          <param-name>antiClickJackingOption</param-name>
          <param-value>DENY</param-value>
        </init-param>
    </filter>

  <filter-mapping> 
    <filter-name>httpHeaderSecurity</filter-name> 
    <url-pattern>/*</url-pattern>
</filter-mapping>

X-Frame-Options是请求响应中包含的报头，用于声明所请求的域是否允许在帧中显示。它与javascript或HTML无关，也不能由请求的发起者更改。

本网站已设置此标头以禁止在iframe中显示。在客户端web浏览器中无法阻止这种行为。

进一步阅读X-Frame-Options