WordPress hat bei der Version 3.1 ein Clickjacking Schutz per X-Frame-Options Header eingeführt.
Dies hat zur Folge, dass WordPress nicht mehr in iFrames geladen werden kann.
Da ich ein Updateskript geschrieben habe, was vollautomatisch alle WordPress Installationen per iFrames update, habe ich seither ein Problem.
Zuerst habe ich den Filter von WordPress mit folgendem Plugincode entfernt:
remove_action( 'login_init', 'send_frame_options_header'); remove_action( 'admin_init', 'send_frame_options_header');
Als Nächstes habe ich meine eigene Funktion hinzugefügt:
function wuk_send_frame_options_header() { @header( 'X-Frame-Options: SAMEORIGIN, ALLOW-FROM http://wuk.ch' ); } add_action( 'login_init', 'wuk_send_frame_options_header', 10, 0 ); add_action( 'admin_init', 'wuk_send_frame_options_header', 10, 0 );
Und schon wird der HTTP Header so modifiziert das iFrames von der angegebenen Webseite erlaubt sind, aber dennoch alle anderen Domains weiterhin verboten sind.