response.addHeader(“X-Frame-OPTIONS”, “DENY”); DENY SAMEORIGIN ALLOW-FROM origin 当值为DENY时, 浏览器 会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。