碰到区域限制确实头疼，我之前对接第三方嵌入工具时也踩过类似的坑，给你几个实用的解决方案，你可以根据自己的场景选择：

方案1：搭建反向代理转发请求（生产环境推荐） #

这个方案的核心是用自己的服务器作为中间层，把xmind.app的请求全部转发，让嵌套iframe请求你的代理地址而非直接访问xmind.app，彻底绕开区域限制。

步骤1：配置反向代理服务器 #

你可以用Nginx、Caddy或者Node.js来快速搭建，这里给你一个Nginx的配置示例，直接复制到你的Nginx配置文件里修改即可：

server {
    listen 443 ssl; # 建议用HTTPS，避免混合内容问题
    server_name your-proxy-domain.com; # 替换成你的代理服务器域名

    location /xmind-proxy/ {
        # 转发请求到xmind.app
        proxy_pass https://xmind.app/;
        # 必须设置Host头，否则xmind.app可能拒绝请求
        proxy_set_header Host xmind.app;
        # 传递原请求的Referer，避免被反爬拦截
        proxy_set_header Referer $http_referer;
        # 处理跨域问题，因为是iframe嵌入，CORS头必不可少
        add_header Access-Control-Allow-Origin "https://your-website-domain.com"; # 替换成你的网站域名，不要用*，更安全
        add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
        add_header Access-Control-Allow-Headers "User-Agent, Content-Type";
    }
}

如果用Node.js的话，可以用http-proxy-middleware，示例代码如下：

const express = require('express');
const { createProxyMiddleware } = require('http-proxy-middleware');
const app = express();

app.use('/xmind-proxy', createProxyMiddleware({
    target: 'https://xmind.app',
    changeOrigin: true,
    pathRewrite: { '^/xmind-proxy': '' },
    onProxyReq: (proxyReq, req, res) => {
        proxyReq.setHeader('Host', 'xmind.app');
        proxyReq.setHeader('Referer', req.headers.referer || 'https://your-website-domain.com');
    },
    onProxyRes: (proxyRes, req, res) => {
        res.setHeader('Access-Control-Allow-Origin', 'https://your-website-domain.com');
    }
}));

app.listen(3000, () => console.log('Proxy server running on port 3000'));

步骤2：修改xmind-embed-viewer的请求地址 #

• 如果xmind-embed-viewer提供了自定义嵌入地址的配置项，直接在初始化时替换为你的代理地址：

  const viewer = new XMindEmbedViewer({
      el: document.getElementById('viewer-container'),
      // 把原xmind.app的地址替换成代理地址
      src: 'https://your-proxy-domain.com/xmind-proxy/your-mindmap-resource-path'
  });
  

• 如果viewer没有开放这个配置项，就需要通过DOM操作拦截并修改嵌套iframe的src：
  用MutationObserver监听iframe的生成比定时器更可靠，避免因为初始化延迟导致找不到元素：

  // 监听viewer容器的子元素变化
  const observer = new MutationObserver((mutations) => {
      mutations.forEach(mutation => {
          // 遍历新增的节点，找到xmind的嵌套iframe
          const xmindIframe = Array.from(mutation.addedNodes).find(
              node => node.tagName === 'IFRAME' && node.src.includes('xmind.app')
          );
          if (xmindIframe) {
              // 替换src中的xmind.app为代理地址
              const newSrc = xmindIframe.src.replace(
                  'https://xmind.app',
                  'https://your-proxy-domain.com/xmind-proxy'
              );
              xmindIframe.src = newSrc;
              observer.disconnect(); // 找到后停止监听，避免重复修改
          }
      });
  });
  
  // 开始监听viewer容器
  observer.observe(document.getElementById('viewer-container'), {
      childList: true,
      subtree: true // 监听所有子层级，包括深层嵌套的iframe
  });
  

方案2：浏览器代理插件（仅开发环境临时用） #

如果只是开发环境测试需要，不想搭服务器的话，可以用浏览器代理插件，比如Chrome的SwitchyOmega：

• 安装插件后，新建一个代理规则，设置所有匹配*xmind.app*的请求都通过你的代理服务器转发
• 启用这个规则后，页面里的嵌套iframe就能正常请求xmind.app了
  这个方案简单快捷，但只能在本地浏览器生效，不适合生产环境。

方案3：本地加载思维导图文件（彻底脱离第三方依赖） #

如果你能拿到思维导图的本地文件（.xmind格式），可以直接让viewer加载本地文件，完全不需要请求xmind.app：

const viewer = new XMindEmbedViewer({
    el: document.getElementById('viewer-container'),
    // 加载你自己服务器上的本地思维导图文件
    src: '/static/your-mindmap.xmind'
});

这个方案最省心，但前提是你能获取到思维导图的本地文件，适合静态思维导图的场景。

注意事项 #

• 反向代理服务器必须能正常访问xmind.app，否则代理也没用，可以先在服务器上用curl https://xmind.app测试连通性
• 生产环境不要把CORS的Access-Control-Allow-Origin设为*，限制为你的网站域名更安全
• 部分情况下xmind.app可能会验证请求的Referer或其他头，代理时要确保这些头和原请求一致

内容来源于stack exchange