Rails 4: permite que seu site seja iframed por outro site.

No Rails 4, o valor do cabeçalho HTTP X-Frame-Options foi definido por padrão como SAMEORIGIN ( mostrar fonte ), isso permite iframing apenas no mesmo domínio e evita clickjacking, o que é bom para a segurança.

Em alguns casos, você deseja simplesmente alterar o cabeçalho para permitir explicitamente que o conteúdo seja carregado entre domínios e pode fazer isso definindo as Opções do X-Frame como ‘ALLOWALL’.

config.action_dispatch.default_headers = {
'X-Frame-Options' => 'ALLOWALL'
}

Bônus:
se você deseja habilitar o acesso entre domínios de um site específico, pode definir o cabeçalho em uma ação específica em seu controlador.

class DummyController < ApplicationController
def embeddable_action
response
.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://robbiemarcelo.com"
# render or do something
end
end