(我重新提出这个答案是因为我想分享我为解决这个问题而创建的变通方法)

如果您无法访问在<iframe>元素中托管您想要服务的网页的网站，您可以通过使用启用cors的反向代理来绕过X-Frame-Options SAMEORIGIN限制，该反向代理可以从web服务器(上游)请求web页面并将它们提供给最终用户。

下面是这个概念的可视化图表:

由于我对我发现的CORS代理不满意，我最终自己创建了一个，我称之为CORSflare:它被设计为在Cloudflare Worker(无服务器计算)中运行，因此它是一个100%免费的解决方案-只要你不需要它每天接受超过100,000个请求。

你可以在GitHub上找到代理源代码;完整的文档，包括安装说明，可以在我博客的这篇文章中找到。

如果没有帮助，你仍然想在iframe中呈现网站，考虑使用X帧绕过组件，它将利用代理。

X-Frame-Options是请求响应中包含的报头，用于声明所请求的域是否允许在帧中显示。它与javascript或HTML无关，也不能由请求的发起者更改。

本网站已设置此标头以禁止在iframe中显示。在客户端web浏览器中无法阻止这种行为。

进一步阅读X-Frame-Options

X-Frame-Options HTTP响应报头可用于指示浏览器是否应允许在<frame>， <iframe>或<object>中呈现页面。网站可以通过确保他们的内容没有嵌入到其他网站来避免点击劫持攻击。

欲了解更多信息: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

对于这个问题，我有一个替代的解决方案，我将使用PHP演示:

iframe.php:

<iframe src="target_url.php" width="925" height="2400" frameborder="0" ></iframe>

target_url.php:

<?php 
  echo file_get_contents("http://www.example.com");
?>

由于解决方案并没有真正提到服务器端:

一个人必须这样设置(例如apache)，这不是最好的选择，因为它允许所有的事情，但在你看到你的服务器正常工作后，你可以很容易地改变设置。

           Header set Access-Control-Allow-Origin "*"
           Header set X-Frame-Options "allow-from *"

您可以在tomcat实例级配置文件(web.xml)中执行此操作。 需要在web.xml配置文件中添加“过滤器”和“过滤器映射”。 这将在所有页面中添加[X-frame-options = DENY]，因为这是一个全局设置。

<filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
        <init-param>
          <param-name>antiClickJackingEnabled</param-name>
          <param-value>true</param-value>
        </init-param>
        <init-param>
          <param-name>antiClickJackingOption</param-name>
          <param-value>DENY</param-value>
        </init-param>
    </filter>

  <filter-mapping> 
    <filter-name>httpHeaderSecurity</filter-name> 
    <url-pattern>/*</url-pattern>
</filter-mapping>