如何能防止网页禁止被iframe嵌入呢？

很遗憾，你无法直接阻止其他网站通过iframe嵌入你的网页。X-Frame-Options 头信息曾经是主要的防御手段，但现在已弃用，并且许多现代浏览器已不再支持它。

目前，没有万无一失的方法完全阻止iframe嵌入。 你可以采取一些措施来增加嵌入的难度或降低其有效性，但决心绕过这些措施的人仍然可以找到方法。

以下是一些你可以尝试的策略，以及它们的局限性：

1. JavaScript 检测与重定向:

这是目前最常用的方法。 你可以使用 JavaScript 检测你的页面是否在一个 iframe 中，如果是，则采取行动，例如重定向到其他页面或显示一条消息。

if (window.self !== window.top) {
  // 在 iframe 中
  // 选择以下操作之一：
  window.top.location.href = 'https://yourdomain.com'; // 重定向到你的主页
  document.body.innerHTML = 'This content cannot be displayed in an iframe.'; // 显示消息
  // 或者其他操作，例如隐藏内容
}

• 局限性： 熟练的开发者可以通过禁用 JavaScript 或修改你的脚本绕过这种保护。 此外，这种方法会影响使用 iframe 的合法用户，例如你自己的网站上的其他部分。

2. Content Security Policy (CSP):

CSP 是一种 HTTP 响应头，允许你控制允许加载的资源，包括 iframe。虽然 CSP 主要用于防止 XSS 攻击，但它也可以用于限制 iframe 嵌入。 你可以使用 frame-ancestors 指令来指定允许嵌入你的页面的网站。

Content-Security-Policy: frame-ancestors 'self' https://yourdomain.com;

这将允许你的页面被你自己的网站 (self) 和 https://yourdomain.com 嵌入。

• 局限性： frame-ancestors 指令比 X-Frame-Options 更受支持，但仍然不是所有浏览器都完全支持。 此外，与 JavaScript 方法一样，决心绕过它的开发者仍然可以找到方法。

3. 沙盒属性 (Sandbox Attribute):

如果你控制 iframe 的创建，你可以使用 sandbox 属性来限制 iframe 的功能。 这并不能阻止嵌入，但可以限制 iframe 的潜在危害。 然而，这仅适用于你自己控制的 iframe，对你网站被其他网站嵌入的情况无效。

4. 服务端渲染和动态内容：

通过服务端渲染动态生成内容，并使用 token 或其他验证机制，可以使抓取和嵌入内容变得更加困难。 这增加了攻击者的难度，但并不能完全阻止他们。

总结:

没有完美的解决方案可以完全阻止 iframe 嵌入。 上述方法可以增加嵌入的难度，但并不能提供绝对的保护。 最佳方法是结合使用这些技术，并根据你的具体需求和安全要求进行调整。 持续监控和更新你的安全策略也很重要。