¿Qué sucede si el navegador no admite X-FRAME-OPTIONS?
¿Representa el uri al que hace referencia el iframe O NO procesa nada en este caso?
Un navegador que admita marcos pero no el encabezado X-Frame-Options
(o las políticas CSP correspondientes) simplemente generará cualquier contenido de marco, independientemente del origen. No puede implementar un mecanismo de seguridad que no conoce.
X-Frame-Options
se implementó en la mayoría de los principales navegadores en 2010 (y solo se especificó más adelante en RFC 7034 en el año 2013) - en ese momento, los marcos ya han existido por mucho tiempo. La introducción del encabezado fue una reacción al problema clickjacking que surgió debido a la incrustación de marcos de origen cruzado que no pudo remediarse completamente con las técnicas de framebusting .
Lea otras preguntas en las etiquetas authentication iframe