摘要： 在响应头里加一个X-Frame-Options DENY：浏览器拒绝当前页面加载任何Frame页面 SAMEORIGIN：frame页面的地址只能为同源域名下的页面 ALLOW-FROM origin：origin为允许frame加载的页面地址 这样被不同源的页面以iframe包含时就不会显示了 阅读全文