关于Clickjacking防御有没有好的方案

网站要做Clickjacking防御，但是有个问题就是有的页面是允许被其他站点嵌套的，这样的话OWASP中提到的使用X-Frame-Options和frame-busting，都不适用，请问一下这样的需求怎么解决呢？上网上找了很久都没找到好的解决方案，而且网上大多数都觉得Clickjacking没有完美的解决方案，各位谁有经验的希望可以指导一下。

X-Frame-Options HTTP头有三个模式：DENY, SAMEORIGIN, 和ALLOW-FROM. 如果不允许选择缺省的DENY. 如果允许同一个域名网址设置 SAMEORIGIN. 如果允许一些指定的URL能够嵌套Frame，那么提供ALLOW-FROM和那个URL.

https://github.com/helmetjs/frameguard

http://www.jdon.com/46839