X-Frame-Options 设置后为什么页面还是能被嵌入 iframe？

我在项目里加了 X-Frame-Options: DENY 响应头，但发现别人还是能用 iframe 把我的 React 页面嵌进去，完全没生效。是我配置错了吗？

后端是用 Nginx 配的 header，前端代码大概是这样：

function App() {
  return (
    <div className="app">
      <h1>我的安全页面</h1>
      <p>不应该被嵌入 iframe</p>
    </div>
  );
}

export default App;

本地测试时用另一个 HTML 文件直接写 iframe src 指向这个页面，居然能正常显示……这不就绕过防护了吗？