ヘッダーにx-frame-optionsを含めると、そのレスポンス結果をリファラーサイトの<iframe>で表示しても良いかどうか決めれます。

このオプションは次の2つ(3つ)の値を持てます。

• deny

• sameorigin

• allow-from <url>

ただし3つ目のallow-from <url>は古いのかうまく設定が効きかなかったので、覚えなくて良いかもしれません。

deny

リファラサイトへの<iframe>での埋め込みを禁じます。禁じられた場合 Chrome では接続拒否画面が表示されます。

allow-fromが使えないので、もしサイトによって許可・不許可の制御が必要なのであればrefererヘッダーを都度見てx-frame-options: denyを設定する必要がありそうです。

sameorigin

同ドメイン内だけに<iframe>埋め込みを許可したい場合はこの値です。例えばlocalhost:3000/contentsを埋め込む場合、localhost:3000では大丈夫ですが、localhost:30001では接続が拒否されます。