Definir o cabeçalho de resposta: X-Frame-Options
para DENY
ou SAMEORIGIN
impedirá que sua página seja exibida em outro site e impedirá a maioria dos ataques de clickjacking
DENY <br/>
impedirá que sua página seja completamente exibida em um iframe. </br>
exemplo de php:
<?php
header('X-Frame-Options: DENY');
?>
SAMEORIGIN <br/>
impedirá que sua página seja exibida em outros sites (no nosso caso, para permitir a exibição de sua página em um iframe, “mesmo site” significa que deve ser o mesmo domínio com o mesmo protocolo). <br/>
php exemplo:
<?php
header('X-Frame-Options: SAMEORIGIN');
?>
Ambas as opções são bem suportadas na maioria dos navegadores da web comuns (chrome, firefox, safari, opera, IE8 e superior)
Há uma terceira opção ALLOW-FROM , mas não vou discuti-la porque ela é mal suportada na maioria dos navegadores.