在iframe

Question

嵌入WordPress管理我想給管理員「新帖」 WordPress的頁面嵌入到一個iframe：

<iframe height="500px" frameborder="0" width="740px" src="my_wordpress_domain/wp-admin/post-new.php"/> 

出於某種原因的iframe加載一個空白頁。鏈接本身在單獨的標籤中工作，在iframe中的wordpress主頁也是如此。

這是一個安全問題，如果是的話，我該如何規避它？

Answer 1

是的，實際上這是一個漏洞。 WordPress最近修補了一個remote code execution click-jacking vulnerability。爲了修補點擊劫持漏洞，您可以撤銷iframe訪問權限。

爲了讓iframe正常工作，您必須修改由wordpress設置的x-frame-options HTTP標頭。您可以將此標頭更改爲「同源」，以允許來自同一個域的iframe。或者，您可以將此域名列入白名單。

請勿刪除x-frame-options HEADER。