(我重新提出这个答案是因为我想分享我为解决这个问题而创建的变通方法)

如果您无法访问在<iframe>元素中托管您想要服务的网页的网站，您可以通过使用启用cors的反向代理来绕过X-Frame-Options SAMEORIGIN限制，该反向代理可以从web服务器(上游)请求web页面并将它们提供给最终用户。

下面是这个概念的可视化图表:

由于我对我发现的CORS代理不满意，我最终自己创建了一个，我称之为CORSflare:它被设计为在Cloudflare Worker(无服务器计算)中运行，因此它是一个100%免费的解决方案-只要你不需要它每天接受超过100,000个请求。

你可以在GitHub上找到代理源代码;完整的文档，包括安装说明，可以在我博客的这篇文章中找到。

如果你控制发送iframe内容的服务器，你可以在你的web服务器中设置X-Frame-Options。

配置Apache

要为所有页面发送X-Frame-Options报头，请将其添加到站点的配置中:

Header always append X-Frame-Options SAMEORIGIN

Configuring nginx

要配置nginx发送X-Frame-Options报头，将其添加到http、服务器或位置配置中:

add_header X-Frame-Options SAMEORIGIN;

没有配置

这个头选项是可选的，所以如果这个选项根本没有设置，你将给下一个实例配置这个选项(例如访问者浏览器或代理)

来源:https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

由于解决方案并没有真正提到服务器端:

一个人必须这样设置(例如apache)，这不是最好的选择，因为它允许所有的事情，但在你看到你的服务器正常工作后，你可以很容易地改变设置。

           Header set Access-Control-Allow-Origin "*"
           Header set X-Frame-Options "allow-from *"

如果没有帮助，你仍然想在iframe中呈现网站，考虑使用X帧绕过组件，它将利用代理。

这也是一个新的浏览器安全功能，以防止网络钓鱼和其他安全威胁。对于chrome浏览器，你可以下载一个扩展来防止浏览器拒绝请求。 我在本地使用WordPress时遇到了这个问题。

我使用这个扩展https://chrome.google.com/webstore/detail/ignore-x-frame-headers/gleekbfjekiniecknbkamfmkohkpodhe

您可以在tomcat实例级配置文件(web.xml)中执行此操作。 需要在web.xml配置文件中添加“过滤器”和“过滤器映射”。 这将在所有页面中添加[X-frame-options = DENY]，因为这是一个全局设置。

<filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
        <init-param>
          <param-name>antiClickJackingEnabled</param-name>
          <param-value>true</param-value>
        </init-param>
        <init-param>
          <param-name>antiClickJackingOption</param-name>
          <param-value>DENY</param-value>
        </init-param>
    </filter>

  <filter-mapping> 
    <filter-name>httpHeaderSecurity</filter-name> 
    <url-pattern>/*</url-pattern>
</filter-mapping>