4

我在http://foo.example.com上有一个 iframe,它的目标是http://bar.example.com

http://bar.example.com上是 WordPress 安装。我可以查看该页面并单击所有页面并发布,但是当我尝试转到后端时,我得到了

Refused to display document because display forbidden by X-Frame-Options.

并且请求被中止。

根据这个问题,我添加了这个成功发送的标头:

header('X-Frame-Options: GOFORIT');

还有什么可以限制对仪表板(和登录屏幕)的访问?

我可以访问两个子域,也可以使用 htaccess

4

2 回答 2

6

这是一个更好的解决方案,当您更新 Wordpress 时不会中断:

remove_action( 'login_init', 'send_frame_options_header' );
remove_action( 'admin_init', 'send_frame_options_header' );

如果您使用的是 Apache,这是另一种解决方案。把它扔到你的 .htaccess 中:

<IfModule mod_headers.c>
    Header unset X-Frame-Options
    Header always unset X-Frame-Options
</IfModule>
于 2015-04-20T06:19:39.540 回答
5

据此,在 WordPress Answers 中,在登录页面收到“此内容无法在框架中显示”错误时,WordPress 会发送一个特殊的标头

X-Frame-Options: SAMEORIGIN

防止点击劫持。因此,将管理员嵌入为 iframe。

可以消除此标头,从 中删除几个操作wp-includes/default-filters.php,但风险自负。

有人可能会使用非常相似的名称注册一个域,将您的登录信息嵌入到后台 iframe 中,并在您尝试输入登录凭据时记录下来。

请阅读 WPSE 的完整问答。

于 2013-01-15T20:51:09.237 回答