X-Frame-Options 有三个值:

DENY

表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM  uri

表示该页面可以在指定来源的 frame 中展示。

如果设置为DENY，不光在别人的网站 frame 嵌入时会无法加载，在同域名页面中同样会无法加载。另一方面，如果设置为SAMEORIGIN，那么页面就可以在同域名页面的 frame 中嵌套。

默认的IIS中的HTTP响应标头默认的设置X-Frame-Options值为SAMEORIGIN

所以，当其他域名的网站想用的方式载入我们网站的界面时，就需要在我们网站中配置X-Frame-Options值为 ALLOW-FROM   uri（uri为允许来源的地址）