拓展：
1、什么是跨域
浏览器从一个域名的网页去请求另一个域名的资源时，域名、端口、协议有一个不同就是跨域
2、为什么会出现跨域
浏览器的同源策略限制，所谓同源（即指在同一个域）就是两个页面具有相同的协议（protocol）、主机（host）和端口号（port），同源策略（Sameoriginpolicy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。

拓展：
ThingJS-X主要支持两种分辨率，分别是1920*1080和3840*1080，这两种分辨率下可以确保TX场景较好的展示。不论宽，还是高，只要超出范围，均会造成额外的GPU内存损耗。项目中优先推荐1920*1080分辨率，由项目中测试数据得出结论，越接近该分辨率范围，GPU内存占用越低（此处仍需更多的项目实践加以佐证）。

set-cookie=x-no-open
security-content-security-policy=x-no-open

# 不允许被嵌入，包括<frame>, <iframe>, <object>, <embed> 和 <applet>
Content-Security-Policy: frame-ancestors 'none'
# 只允许被同源的页面嵌入
Content-Security-Policy: frame-ancestors 'self'
# 只允许被白名单内的页面嵌入
Content-Security-Policy: frame-ancestors www.example.com

# 不允许被嵌入，包括<frame>, <iframe>, <embed> 和 <object>
X-Frame-Options: deny
# 只允许被同源的页面嵌入
X-Frame-Options: sameorigin
# （已废弃）只允许被白名单内的页面嵌入
X-Frame-Options: allow-from www.example.com

拓展：
禁止页面被放在iframe里加载主要是为了防止点击劫持（Clickjacking）
具体的，对于点击劫持，主要有 3 项应对措施：
CSP（Content Security Policy，即内容安全策略）：CSP 允许您定义策略来限制网页上可以加载的资源和执行的操作。通过在响应头中添加 Content-Security-Policy 头标签，并使用合适的策略配置，可以防止页面被加载到 iframe 中。例如，在 CSP 策略中使用 "frame-ancestors 'none'" 或者 "frame-ancestors 'self'" 来限制页面的嵌套。
X-Frame-Options ：通过在服务器响应中添加 X-Frame-Options 头标签，可以告知浏览器不要将页面加载到iframe中
framekiller （通过js反客为主，不推荐）