我正在尝试将管理员“新帖”wordpress页面嵌入到iframe中:
<iframe height="500px" frameborder="0" width="740px" src="my_wordpress_domain/wp-admin/post-new.php"/>
由于某种原因,iframe加载了空白页面。链接本身在单独的选项卡中工作,iframe中的wordpress主页也是如此。
这是一个安全问题,如果是这样,我该怎样绕过它呢?
答案 0 :(得分:3)
是的,实际上这是一个漏洞。 Wordpress最近修补了remote code execution click-jacking vulnerability。要修补点击劫持漏洞,请撤消iframe访问权限。
为了让iframe正常工作,您必须修改由wordpress设置的x-frame-options HTTP标头。您可以将此标题更改为“同源”,它允许来自同一域的iframe。或者您可以在此列表中将您的域列入白名单。
请勿删除x-frame-options标题。