这个问题确实挺头疼的——浏览器出于安全隐私考虑，不会把这类跨域安全限制的错误直接通过onerror事件暴露出来，所以你之前试的那些方法才会失效。不过我们可以通过一些间接的方式来检测这种情况，下面是实践下来比较可靠的方案：

核心思路 #

当iframe被X-Frame-Options或CSP frame-ancestors限制时，浏览器通常会：

• 触发iframe的onload事件（没错，即使加载被阻止，很多浏览器仍会触发这个事件）
• 禁止父页面访问iframe的contentDocument或contentWindow，尝试访问时会抛出安全错误
• 要么显示空白iframe，要么显示浏览器默认的“无法嵌入”提示页（不同浏览器表现有差异）

基于这些特征，我们可以结合onload事件、定时器和try-catch来判断是否被安全策略阻止。

具体实现代码 #

<iframe id="myFrame" src="https://example.com"></iframe>
<!-- 备用内容，默认隐藏 -->
<div id="fallbackContent" style="display:none; padding:2rem; background:#f5f5f5; border:1px solid #ddd;">
  抱歉，该内容无法嵌入展示，请直接访问原网站查看。
</div>

const iframe = document.getElementById('myFrame');
const fallbackContent = document.getElementById('fallbackContent');

iframe.onload = function() {
  // 设置一个短延迟，确保浏览器有足够时间处理加载结果
  setTimeout(() => {
    let isBlockedBySecurity = false;

    try {
      // 尝试访问iframe的文档对象
      const iframeDoc = iframe.contentDocument || iframe.contentWindow.document;
      
      // 额外检查：如果文档内容为空，也可能是被阻止了
      if (!iframeDoc || iframeDoc.body.innerHTML.trim() === '') {
        isBlockedBySecurity = true;
      }
    } catch (error) {
      // 捕获到安全错误，说明确实被限制了
      if (error.name === 'SecurityError' || error.name === 'NotAllowedError') {
        isBlockedBySecurity = true;
      }
    }

    if (isBlockedBySecurity) {
      console.log('iframe被X-Frame-Options或CSP限制加载');
      iframe.style.display = 'none';
      fallbackContent.style.display = 'block';
    } else {
      console.log('iframe正常加载完成');
    }
  }, 150); // 延迟时间可根据实际情况调整，一般100-200ms足够
};

// 处理真正的网络加载失败（比如目标站点宕机）
iframe.onerror = function() {
  console.log('iframe网络加载失败');
  fallbackContent.style.display = 'block';
};

注意事项 #

1. 延迟时间的调整：不同浏览器处理安全限制的速度略有差异，设置短延迟是为了避免误判（比如页面还在加载中就检测）。
2. 特殊情况处理：极少数网站可能本身就返回空白内容，这时候会误判，但结合try-catch的安全错误捕获，大部分场景下准确率很高。
3. 浏览器兼容性：主流浏览器（Chrome、Firefox、Edge、Safari）都支持这种方式，因为安全错误的抛出是标准行为。

目前没有100%完美的方案（毕竟浏览器刻意隐藏了这类错误），但这个方法是当前最可靠的，能覆盖绝大多数X-Frame-Options和CSP frame-ancestors限制的场景，帮你正确显示备用内容。

备注：内容来源于stack exchange，提问作者mangoG