Wie wird die X-Frame-Options Einstellung gesetzt?
Die X-Frame-Options Einstellung wird über den Header der ausgelieferten URL konfiguriert. Standardmäßig ist die Einstellung so gesetzt, dass das Einbetten in externen iFrames nicht erlaubt ist. Der Wert zum X-Frame-Options Header-Eintrag ist auf SAMEORIGIN gesetzt.
Mehr dazu in folgendem Artikel: X-Frame-Options - Schutz vor Clickjacking