iframe拒绝显示

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options

https://blog.csdn.net/yangye1225/article/details/78957566

设置 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options
可以正常使用

add_header X-Frame-Options ALLOWALL;

语法

X-Frame-Options 有三个可能的值：

X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://example.com/

指南

换一句话说，如果设置为 deny，不光在别人的网站 frame 嵌入时会无法加载，在同域名页面中同样会无法加载。另一方面，如果设置为sameorigin，那么页面就可以在同域名页面的 frame 中嵌套。

deny

表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。

sameorigin

表示该页面可以在相同域名页面的 frame 中展示。

allow-from uri

表示该页面可以在指定来源的 frame 中展示。

设置完即可使用

找到了新的优先级更高的配置   
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors

Content-Security-Policy: frame-ancestors <source>;的优先级 高于X-Frame-Options

add_header Content-Security-Policy "frame-ancestors *";  所有网页都可以进行嵌入

不同域名通过iframe嵌套显示 提示被拒绝显示

标签：-s   指定   可能   mozilla   指南   security   

原文：https://www.cnblogs.com/njccqx/p/13328740.html