【问题标题】:Embed wordpress admin in an iframe在 iframe 中嵌入 wordpress 管理员
【发布时间】:2023-03-27 15:16:01
【问题描述】:

我正在尝试将管理员“新帖子”wordpress 页面嵌入 iframe:

<iframe height="500px" frameborder="0" width="740px" src="my_wordpress_domain/wp-admin/post-new.php"/>

由于某种原因,iframe 加载了一个空白页面。链接本身在单独的选项卡中工作,iframe 中的 wordpress 主页也是如此。

这是一个安全问题吗,如果是,我该如何规避它?

【问题讨论】:

    标签: html security wordpress iframe blogs


    【解决方案1】:

    是的,事实上这是一个漏洞。 Wordpress 最近修补了remote code execution click-jacking vulnerability。为了修补点击劫持漏洞,您需要撤销 iframe 访问权限。

    为了让 iframe 工作,您必须修改由 wordpress 设置的 x-frame-options HTTP 标头。您可以将此标头更改为“同源”,这允许 iframe 来自同一域。或者您可以在此列表中将您的域列入白名单。

    请勿删除 x-frame-options 标头。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2021-08-05
      • 2017-12-31
      • 2015-09-06
      • 1970-01-01
      • 2015-01-25
      • 1970-01-01
      相关资源
      最近更新 更多