想要把别的后台管理系统通过 iframe 嵌套进来，但是对方禁止 iframe 嵌入

自己写一个忽略此要求的浏览器，或者把那个后台系统改了。

openresty 套一层代理，把这个页面用 lua 改了

也可以开发插件拦截请求修改响应内容

没有什么不能加个中间件来解决

ngx_http_sub_module

这个太简单了，如上面的大佬们所述，其实按照这个思路还有一个更简单的。
先去竞选美国总统，然后跟那个网站交涉，让他允许被嵌入。

别的后台管理系统是部署在你们自己的服务器上吗？如果是的话，就在项目文件里找到字符串 X-FRAME-OPTIONS ，改成其他无效字符即可

尽量和对方协调修改，实在没有办法也可以尝试 nginx 反向代理后通过 subfilter 修改内容

https://www.v2ex.com/t/799864#reply8

> https://chrome.google.com/webstore/detail/ignore-x-frame-headers/gleekbfjekiniecknbkamfmkohkpodhe 这个扩展可以去掉响应头里的 X-Frame-Options ，不过是全局生效，不能自定义网址，有一定安全风险
另外扩展使用的是 v2 的 api ，v3 好像对网络请求的修改限制得更严格了，等 v2 被废弃时可能就用不了了

不是在响应头里禁，可以尝试一下 js 的 service worker （不一定有用）

嵌进来也有问题，iframe 过来的页面你可能会发现那边的验证 cookie 全掉了，因为现在的浏览器安全策略限制了跨域的 iframe 的一些特性。

两方开发的事情你用上了“破解”这个词？

@Seanfuck service worker 不能跨域

找到接口重新实现一遍

@Seanfuck #10 sw 你想修改三方网站的响应头？那浏览器还有什么安全性可言

没用的，就和 11 楼说的一样，cookie 也有问题，你还是没法正常用

@hefish #6 这就是零代码编程吗？

反向代理，替换掉这个限制。

是把别人产品嵌到自己页面中，然后说是自己产品吧？

@wheat0r 这笑话不错，偷了