web-dev-qa-db-fra.com

This is can be be in view in the frame of connection

J'utilise un nouveau domaine pour mon répertoire WordPress sur un serveur différent. Lorsque je clique sur les liens méta tels que "Login" ou "register", j'obtiens cette page:

Ce contenu ne peut pas être affiché dans un cadre

Pour aider à protéger la sécurité des informations que vous entrez sur ce site Web, l'éditeur de ce contenu ne permet pas son affichage dans un cadre.

Ce que vous pouvez essayer: Ouvrez ce contenu dans une nouvelle fenêtre

Comment puis-je réparer cela?

3
user1973523

Depuis la version 3.4 (ou antérieure?), WordPress envoie un en-tête HTTP spécial (pas en HTML) sur les pages de connexion et d'administration:

X-Frame-Options: SAMEORIGIN

enter image description here

Ainsi, votre navigateur vous montrera du texte intégré dans le navigateur, non envoyé par WordPress.

De wp-includes/default-filters.php:

add_action( 'login_init', 'send_frame_options_header', 10, 0 );
add_action( 'admin_init', 'send_frame_options_header', 10, 0 );

Vous pourriez créer un plugin et désactiver ces en-têtes:

remove_action( 'login_init', 'send_frame_options_header' );
remove_action( 'admin_init', 'send_frame_options_header' );

Mais alors votre identifiant peut être utilisé pour clickjacking . Quelqu'un peut enregistrer un domaine avec un nom très similaire, incorporer votre identifiant de connexion en tant qu'arrière-plan iframe et enregistrer les identifiants de connexion lorsque tu essaies de les saisir.

Ce n’est pas une fiction. C’est ce qui s’est passé, c’est pourquoi WordPress a implémenté cela.

Supprimez la iframe. Essayez de trouver une meilleure solution.

7
fuxia