X-Frame-Options HTTP响应报头可用于指示浏览器是否应允许在<frame>， <iframe>或<object>中呈现页面。网站可以通过确保他们的内容没有嵌入到其他网站来避免点击劫持攻击。

欲了解更多信息: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

对于这个问题，我有一个替代的解决方案，我将使用PHP演示:

iframe.php:

<iframe src="target_url.php" width="925" height="2400" frameborder="0" ></iframe>

target_url.php:

<?php 
  echo file_get_contents("http://www.example.com");
?>

如果你控制发送iframe内容的服务器，你可以在你的web服务器中设置X-Frame-Options。

配置Apache

要为所有页面发送X-Frame-Options报头，请将其添加到站点的配置中:

Header always append X-Frame-Options SAMEORIGIN

Configuring nginx

要配置nginx发送X-Frame-Options报头，将其添加到http、服务器或位置配置中:

add_header X-Frame-Options SAMEORIGIN;

没有配置

这个头选项是可选的，所以如果这个选项根本没有设置，你将给下一个实例配置这个选项(例如访问者浏览器或代理)

来源:https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

解决方案是安装一个浏览器插件。

一个发布HTTP报头X-Frame-Options值为DENY(或具有不同服务器源的SAMEORIGIN)的网站不能集成到IFRAME中…除非你通过安装一个忽略X-Frame- options报头的浏览器插件来改变这种行为(例如Chrome的忽略X-Frame报头)。

注意，出于安全原因，根本不建议这样做。

如果没有帮助，你仍然想在iframe中呈现网站，考虑使用X帧绕过组件，它将利用代理。

您可以在tomcat实例级配置文件(web.xml)中执行此操作。 需要在web.xml配置文件中添加“过滤器”和“过滤器映射”。 这将在所有页面中添加[X-frame-options = DENY]，因为这是一个全局设置。

<filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
        <init-param>
          <param-name>antiClickJackingEnabled</param-name>
          <param-value>true</param-value>
        </init-param>
        <init-param>
          <param-name>antiClickJackingOption</param-name>
          <param-value>DENY</param-value>
        </init-param>
    </filter>

  <filter-mapping> 
    <filter-name>httpHeaderSecurity</filter-name> 
    <url-pattern>/*</url-pattern>
</filter-mapping>

你不能真的在你的HTML主体中添加x-iframe，因为它必须由站点所有者提供，并且它在服务器规则中。

你可以做的是创建一个PHP文件，加载目标URL和iframe PHP URL的内容，这应该会顺利工作。