首先得明确：这个报错的根源不在你设置的响应头里，而是来自messenger.com本身的安全限制。咱们拆解一下报错信息：

Refused to display 'https://www.messenger.com/t/EAPdevelopment...' in a frame because it set 'X-Frame-Options' to 'deny'

这句话的意思是：你尝试嵌入的那个Messenger对话页面，它自己的服务器返回了X-Frame-Options: deny响应头——这个头是用来限制自身页面被其他网站用iframe嵌入的，不管你自己的页面怎么设置ALLOW-FROM，都绕不开对方的这个限制。

为什么之前正常现在不行？ #

大概率是Facebook/Messenger最近更新了安全策略，禁止了直接通过iframe嵌入他们的对话页面。很多大型平台（包括Facebook、Google）都会逐步收紧这类嵌入限制，防止点击劫持等安全风险。

你现在的响应头设置有什么问题？ #

你设置的X-Frame-Options: ALLOW-FROM是用来控制你自己的页面是否允许被指定域名的iframe嵌入，而不是用来允许你去嵌入别人的页面。而且这里还有个小问题：重复设置同一个响应头会被覆盖，最后生效的只会是最后那行ALLOW-FROM https://www.facebook.com/，不过这不是当前报错的核心原因。

该怎么解决？ #

别再尝试直接iframe嵌入那个Messenger链接了，换用官方支持的方式：

• 使用Messenger官方嵌入工具：如果是要在网页里集成Messenger对话，用Facebook提供的Messenger Chat Plugin，它会帮你处理好所有安全嵌入的逻辑，不需要自己写iframe。
• Webview应用里用Deep Link：如果是移动端的Webview应用，直接通过Messenger的Deep Link（比如fb-messenger://user-thread/[USER_ID]）唤起原生Messenger应用打开对话，而不是在Webview里嵌套页面。
• 调用Messenger Platform API：如果需要更定制化的功能，用Messenger Platform的Send API或者其他官方接口来实现对话交互，而不是直接加载网页链接。

总结一下：对方的页面明确禁止被嵌入，你这边怎么设置都没用，必须换官方支持的集成方式才行。

内容的提问来源于stack exchange，提问作者Арсен Гоян