• Hallo,

    ich möchte gerne verhindern, dass JEDE Art von iFrames in WordPress eingebunden werden kann und das auf bestimmte URLs beschränken (z. B. https://google.com/maps etc.).

    Wie kann ich zum einen verhindern, dass iFrames eingebunden werden können und zum anderen dann nur bestimmte URLs erlauben?

    Danke für Infos und Gruss
    Uwe

Ansicht von 8 Antworten – 1 bis 8 (von insgesamt 8)
  • Das funktioniert mit frame-src bzw. frame-ancestors in der Content Security Policy. Das gibt man entweder in der Serverkonfiguration, in der .htaccess bzw. im Header an. CSP ist nicht trivial.

    Thread-Starter uhi888

    (@uhi888)

    Hi hupe13,

    danke, aber mir ging es um eine Lösung auf der Ebene von WordPress, also functions.php oder ähnliches. Was gibt es da für Lösungen?

    Danke für Info und Gruss
    Uwe

    Tut mir Leid, da habe ich keine Ahnung.

    Moderator Michi91

    (@michi91)

    Es geht auch mit dem Plugin https://wordpress.org/plugins/http-headers/ aber wie @hupe13 schon schrieb: Das einrichten von CSP ist nicht trivial. Viel Erfolg 🙂

    Moderator Bego Mario Garde

    (@pixolin)

    … wobei die genannten Lösungen nicht verhindern, „dass JEDE Art von iFrames in WordPress eingebunden werden kann“ – sie werden dann nur eben nicht gezeigt bzw. produzieren einen Fehler 🤓.

    Ich hätte eher an eine Beschränkung der erlaubten HTML-Tags gedacht, hab‘ dazu aber nicht weiter recherchiert, welcher Hook verwendet werden muss. Außerdem besteht dann noch die Möglichkeit, dass z.B. ein Google-Maps-Plugin den iFrame über einen Shortcode einbindet.

    Nachdem ich weiß, wie z.B. bei Strato CSP konfiguriert werden muss, habe ich Bedenken dass Plugins, wie das von @michi91 genannte, überall funktionieren.

    Anonymous User 20597857

    (@anonymized-20597857)

    Lösung auf der Ebene von WordPress

    Vllt. kann https://de.wordpress.org/plugins/advanced-iframe/ dabei was helfen? Das Ding hat 999 Optionen, evtl. auch sowas? Wenn nicht, vllt. weiß deren Support Rat?

    Moderator Michi91

    (@michi91)

    @pixolin 🤓 stimmt natürlich. Dennoch eine zuverlässige Methode, solange der Provider nicht zwischenfunkt.

Ansicht von 8 Antworten – 1 bis 8 (von insgesamt 8)