我之前也碰到过这个问题——明明写了setXFrameOptionsMode.ALLOWALL却还是报错，大概率是部署环节没配置对，或者用了旧的部署链接。咱们一步步来排查解决：

1. 重新部署Web应用（最常见的原因） #

很多人修改代码后直接沿用旧的部署链接，这会导致新的ALLOWALL设置根本没生效。按以下步骤重新部署：

• 打开你的AppScript编辑器，点击右上角的「部署」→「新建部署」
• 点击部署类型的齿轮图标，选择「Web应用」
• 配置关键选项：
  • 执行：选择「我」（如果脚本需要调用Google服务，比如Sheets，这个选项能确保用你的权限执行）
  • 谁可以访问此应用：选择「任何人，甚至匿名」（如果你的网站要对未登录Google账号的用户开放，必须选这个；如果仅限特定用户，iframe访问者需要登录对应账号，且可能仍有跨域限制）
• 点击「部署」，复制生成的新Web应用URL，用这个URL替换你iframe里的旧链接

2. 确认代码和文件的正确性 #

你的代码逻辑是对的，但还是要检查这几点：

• 确保项目里确实存在名为index.html的文件，文件名大小写完全匹配（AppScript对文件名大小写敏感，比如Index.html和index.html是两个不同的文件）
• 验证doGet函数没有语法错误，比如有没有漏写括号或分号：

function doGet() {
  var output = HtmlService.createHtmlOutputFromFile("index");
  return output.setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL);
}

3. 清除浏览器缓存或用隐身窗口测试 #

浏览器可能缓存了旧的响应头（包含禁止iframe的设置），导致新配置不生效：

• 按Ctrl+Shift+R（Windows）或Cmd+Shift+R（Mac）强制刷新嵌入iframe的网页
• 或者用浏览器的隐身/隐私窗口打开网页，测试iframe是否能正常加载

4. 检查HTTPS兼容性 #

确保你的网站和AppScript Web应用都是HTTPS协议：

• AppScript Web应用默认是HTTPS链接（格式类似https://script.google.com/macros/s/.../exec），不要改成HTTP
• 如果你的网站是HTTP，现代浏览器会阻止加载HTTPS的iframe（反之亦然），确保两者协议一致

额外安全提醒 #

如果设置了「任何人，甚至匿名」访问，一定要确保你的AppScript脚本里没有敏感操作（比如修改私人Google Sheets、调用付费API等），避免被恶意调用。

如果以上步骤都试过还是不行，可能是你的Google Workspace组织管理员设置了额外的X-Frame限制（这种情况比较少见），可以联系管理员确认。

内容的提问来源于stack exchange，提问作者Park Jay