WordPressのログイン画面は、login_init アクションフックで、以下のような、ちょっと不思議なヘッダーを出力しています。
これの意味と目的を調べてみました。( 調べてくれている人が、やはり既にいました )
function send_frame_options_header() {
@header( 'X-Frame-Options: SAMEORIGIN' );
}
iframe内からWebページが読み込まれるのを防止する X-Frame-Options HTTP レスポンスヘッダ – buzzword update.