C'è un'intestazione HTTP anti-clickJacking che puoi aggiungere alle tue risposte.
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/
Nega interromperà il caricamento del contenuto in un frame, iframe o oggetto, Same Origin consentirà il caricamento in pagine nello stesso dominio, 'Allow From' ti permette di specificare URI che potrebbero incorniciare il tuo contenuto.
Il browser implementa il supporto per questo, quindi c'è un affidamento sull'utente che utilizza un browser conforme all'intestazione, anche se i principali browser lo hanno supportato per un po '. Il supporto è disponibile per IE11, Edge14 e Chrome 49.
Devi configurare il tuo webserver per aggiungere questa intestazione HTTP alle risposte
Puoi anche usare antenati frame se stai usando una politica di sicurezza dei contenuti.