Hay un encabezado HTTP anti ClickJacking que puedes agregar a tus respuestas.
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/
Denegar detendrá la carga de contenido en un marco, iframe u objeto, Same Origin permitirá cargar en páginas en el mismo dominio, 'Permitir desde' le permite especificar URI que pueden enmarcar su contenido.
El navegador implementa soporte para esto, por lo que existe una dependencia de que el usuario utilice un navegador que cumpla con el encabezado, aunque los principales navegadores lo han soportado por un tiempo; el soporte está en su lugar para IE11, Edge14 y Chrome 49.
Debe configurar su servidor web para agregar este encabezado HTTP a las respuestas
También puede usar ancestros de marcos si está usando una Política de seguridad de contenido.