Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'DENY' 已完美解决
解决方法:
X-Frame-Options是HTTP响应头是用来给浏览器指示允许一个页面可否在 frame请求数据,避免了跨站点的攻击。
X-Frame-Options 有三个值:
1.DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
2.SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
3.ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。
我的解決方法是在后端返回数据时设置response的header:
response.setHeader("X-Frame-Options", "SAMEORIGIN");