【原理】 配置http的响应头信息：属性名X-Frame-Options。
可以配置的参数有两个：
1.DENY：浏览器拒绝当前页面加载任何Frame页面。
2.SAMEORIGIN：页面只能加载入同源域名下的页面。
3.ALLOW-FROM uri：只能被嵌入到指定域名的框架中。
一般选第二个参数就可以了。

方式一：每页面添加(太傻逼):

<% response.addHeader("x-frame-options","SAMEORIGIN");%>​​​​​​​

方式二：单个项目生效：
1.在src目录下建一个包，命名为filter。在包里建类名为FrameTao。内容如下:

1.  
   package filter;
2.  
    
3.  
   import java.io.IOException;
4.  
   import javax.servlet.Filter;
5.  
   import javax.servlet.FilterChain;
6.  
   import javax.servlet.FilterConfig;
7.  
   import javax.servlet.ServletException;
8.  
   import javax.servlet.ServletRequest;
9.  
   import javax.servlet.ServletResponse;
10.  
    import javax.servlet.http.HttpServletRequest;
11.  
    import javax.servlet.http.HttpServletResponse;
12.  
     
13.  
    public class FrameTao implements Filter {
14.  
     
15.  
     
16.  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
17.  
    //必须
18.  
    HttpServletRequest request = (HttpServletRequest) req;
19.  
    HttpServletResponse response = (HttpServletResponse) res;
20.  
    //实际设置
21.  
    response.setHeader("x-frame-options", "SAMEORIGIN");
22.  
    //调用下一个过滤器（这是过滤器工作原理，不用动）
23.  
    chain.doFilter(request, response);
24.  
    }
25.  
     
26.  
    public void init(FilterConfig config) throws ServletException {
27.  
    }
28.  
     
29.  
    public void destroy() {
30.  
    }
31.  
     
32.  
    }

2.在web.xml文件下添加以下内容：

1.  
   <!-- 设置Frame头，防止被嵌套 -->
2.  
   <filter>
3.  
   <filter-name>FrameFilter</filter-name>
4.  
   <filter-class>filter.FrameTao</filter-class>
5.  
   </filter>
6.  
   <filter-mapping>
7.  
   <filter-name>FrameFilter</filter-name>
8.  
   <url-pattern>/*</url-pattern>
9.  
   </filter-mapping>
10.  
     

方式三：服务器(tomcat)上所有项目生效：
tomcat目录/conf/web.xml中的搜索httpHeaderSecurity配置（低版本不支持，需Tomcat 7.0.69以上），将其前面的注释去掉即可。

1.  
   <filter-mapping>
2.  
   <filter-name>httpHeaderSecurity</filter-name>
3.  
   <url-pattern>/*</url-pattern>
4.  
   <dispatcher>REQUEST</dispatcher>
5.  
   </filter-mapping>

1.  
   <filter>
2.  
   <filter-name>httpHeaderSecurity</filter-name>
3.  
   <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
4.  
   <async-supported>true</async-supported>
5.  
   // 以下为额外添加
6.  
   <init-param>
7.  
   <param-name>antiClickJackingEnabled</param-name>
8.  
   <param-value>true</param-value>
9.  
   </init-param>
10.  
    <init-param>
11.  
    <param-name>antiClickJackingOption</param-name>
12.  
    <param-value>SAMEORIGIN</param-value>
13.  
    </init-param>
14.  
    </filter>

（复检）启动服务器。
打开火狐浏览器，打开你的此项目任一网页。
右键查看元素：

转自：https://blog.csdn.net/liangpingguo/article/details/86703284