在iframe中嵌入wordpress管理员

Question

我正在尝试将admin "new post“wordpress页面嵌入到iframe中：

<iframe height="500px" frameborder="0" width="740px" src="my_wordpress_domain/wp-admin/post-new.php"/>

由于某些原因，iframe加载了一个空白页面。链接本身在单独的选项卡中工作，在iframe中的wordpress主页也是如此。

这是一个安全问题吗?如果是，我如何规避它？

Answer 1

是的，事实上这是一个漏洞。Wordpress最近给一个remote code execution click-jacking vulnerability打了补丁。为了修补点击劫持漏洞，您撤销了iframe访问权限。

为了让iframe正常工作，你必须修改wordpress设置的x-frame-options HTTP头文件。您可以将此标头更改为" same -origin“，这将允许来自同一个域的iframe。或者，您可以将您的域列入此列表。

请勿删除 x-frame-options 标头。