Borlabs Cookie: iframes blockieren und gezielt erlauben
Eingebettete YouTube-Videos, Google-Maps-Karten oder ein fremdes Buchungs-Widget laden beim Seitenaufruf sofort Daten vom Drittanbieter – inklusive Cookies und IP-Übertragung, bevor der Besucher eingewilligt hat. Der Content Blocker von Borlabs Cookie unterbindet das: Statt der Einbettung erscheint zunächst ein Platzhalter, das echte iframe lädt erst nach Klick. Nach dieser Anleitung richten Sie ein iframe so ein, dass es erst nach Zustimmung lädt, machen eigene Einbettungen dem Blocker bekannt und geben ein nachweislich harmloses iframe bewusst frei – samt Lösungen für die häufigsten Blockier-Fehler.
Warum Borlabs iframes überhaupt blockiert
Ein iframe bindet fremde Inhalte in Ihre Seite ein. Sobald der Browser das iframe rendert, baut er eine Verbindung zum fremden Server auf. Bei YouTube, Maps, Vimeo, Instagram & Co. bedeutet das: Cookies werden gesetzt und die IP-Adresse des Besuchers wird übertragen – eine Datenverarbeitung, für die Sie nach DSGVO/TDDDG vorab eine Einwilligung brauchen.
Borlabs löst das mit dem Content Blocker (nicht zu verwechseln mit dem Script Blocker für <script>-Tags): Statt des iframes zeigt Borlabs eine Vorschau mit Hinweistext und einem Button „Inhalt laden”. Erst der Klick lädt das echte iframe und speichert die Einwilligung im Cookie borlabs-cookie. Für die gängigen Dienste bringt Borlabs fertige Content Blocker mit – unter anderem YouTube, Vimeo, Google Maps, OpenStreetMap, Instagram, Facebook, X (Twitter) und Google reCAPTCHA.
Weg 1: iframe erst nach Einwilligung laden (der Regelfall)
Für alle Einbettungen, die personenbezogene Daten übertragen, ist das der richtige Weg. Zwei Varianten führen zum Ziel.
Automatische Blockierung über den Host
Borlabs durchsucht den ausgelieferten HTML-Quelltext nach <iframe>-Elementen und blockiert jedes, das auf einen fremden Host zeigt: Das src-Attribut wird technisch durch data-src ersetzt und die Quelle erst nach der Einwilligung nachgeladen. Welcher Platzhalter erscheint, entscheidet der Hostname – für vordefinierte Dienste wie youtube.com oder google.com/maps bringt Borlabs fertige Content Blocker mit, sofern der jeweilige Blocker aktiv ist.
- Öffnen Sie im WordPress-Backend Borlabs Cookie → Content Blocker.
- Prüfen Sie, ob der passende Blocker (z. B. YouTube) auf aktiv steht.
- Kontrollieren Sie im Blocker die hinterlegten Locations (in Borlabs 2 hieß dieses Feld „Hosts”) – der Platzhalter greift nur für iframes mit passendem Host, notieren Sie also alle vorkommenden Sub-Domains.
- Speichern und anschließend den Borlabs-Cache leeren sowie den Seiten-Cache (siehe /borlabs-cache-reset/).
Eigenes iframe bekannt machen
Betten Sie einen Dienst ein, für den es keinen vordefinierten Blocker gibt (etwa ein Terminbuchungs-Tool oder ein fremdes Formular), haben Sie zwei Möglichkeiten:
- Neuen Content Blocker anlegen: Legen Sie unter Content Blocker einen neuen Eintrag an, tragen Sie den Host der iframe-Quelle ein (z. B.
cal.comoderwidget.anbieter.de) und hinterlegen Sie eine Vorschau (Titel, Beschreibung, ggf. Anbieter-Datenschutzlink). Ab dann fängt Borlabs jedes iframe dieses Hosts automatisch ab. - Manuell per Shortcode umschließen: Wenn die automatische Erkennung nicht greift (z. B. weil das iframe per JavaScript nachgeladen wird), umschließen Sie es im Block Custom HTML – nicht im visuellen Editor, der die eckigen Klammern verändert – mit dem Content-Blocker-Shortcode:
[borlabs-cookie type="content-blocker" id="ihr-blocker-id"]
<iframe src="https://widget.anbieter.de/..." width="600" height="400"></iframe>
[/borlabs-cookie]
Die id verweist auf einen bestehenden Content Blocker. Die hier gezeigte Schreibweise [borlabs-cookie type="content-blocker" …] ist die aktuelle Syntax von Borlabs Cookie 3 (Stand: Juli 2026); die älteren Legacy-Shortcodes aus Borlabs 2.x (etwa [borlabs_cookie_blocked_content]) werden aus Kompatibilitätsgründen weiterhin unterstützt, sollten in neuen Einbettungen aber nicht mehr verwendet werden. Eine Übersicht der Codes finden Sie unter /borlabs-liste-aller-shortcodes/.
Weg 2: ein iframe bewusst ganz erlauben (freigeben)
Nicht jedes iframe muss blockiert werden. Bindet die Einbettung ausschließlich Inhalte von Ihrer eigenen Domain ein oder überträgt sie nachweislich keine personenbezogenen Daten und setzt keine Cookies (z. B. ein rein statisches, selbst gehostetes Widget), dürfen Sie es ohne Einwilligung laden lassen.
Wichtig: Borlabs blockiert fremde Hosts standardmäßig – es reicht also nicht, dem iframe einfach keinen Content Blocker zuzuweisen. Um eine Einbettung bewusst durchzulassen, brauchen Sie einen der folgenden Wege:
- Eigene Domain: Zeigt der
srcauf Ihre eigene Domain, greift die automatische Blockierung ohnehin nicht – hier ist nichts weiter zu tun. - Einzelnes iframe ausnehmen: Borlabs erlaubt es, ein einzelnes Element über das Attribut
data-borlabs-cookie-iframe-spareddirekt am<iframe>-Tag von der Blockierung auszunehmen (Stand: Juli 2026). Beispiel:<iframe data-borlabs-cookie-iframe-spared src="https://ihre-domain.de/widget"></iframe>– dieses iframe lädt dann ohne Content Blocker, alle übrigen bleiben geschützt. - Host global freistellen: Über den PHP-Filter
borlabsCookie/contentBlocker/modifyExcludedHostnameslässt sich ein Host dauerhaft aus der Blockierung nehmen (in derfunctions.phpdes Child-Themes oder per Code-Snippet-Plugin, Stand: Juli 2026). Der Filter erhält das Array der ausgenommenen Hostnamen, dem Sie Ihren Host hinzufügen:
add_filter( 'borlabsCookie/contentBlocker/modifyExcludedHostnames', function ( array $hostnames ) {
$hostnames[] = 'widget.anbieter.de';
return $hostnames;
} );
Ordnen Sie ein datenübertragendes iframe hier fälschlich als „harmlos” ein, verlieren Sie den Rechtsvorteil des Consent-Managements. Im Zweifel gehört die Einbettung hinter den Content Blocker.
Häufige Fehler und ihre Lösung
Das iframe lädt trotz Content Blocker sofort. Meist liegt es am Caching: Ein Seiten-Cache (z. B. WP Rocket) liefert HTML aus, das vor der Blocker-Verarbeitung gespeichert wurde. Leeren Sie Borlabs-Cache und Seiten-Cache. Achten Sie außerdem darauf, dass „JavaScript verzögert laden”/„Delay JavaScript” die Borlabs-Skripte nicht mitverzögert – Details unter /wp-rocket-borlabs-cookie/.
Der Blocker greift nicht, weil ein Lazy-Load-Plugin das iframe umschreibt.
Lädt ein anderes Plugin iframes verzögert (es tauscht src gegen data-src), erkennt Borlabs den Host nicht. Nehmen Sie das iframe vom Lazy-Load aus oder umschließen Sie es manuell mit dem Content-Blocker-Shortcode (siehe oben).
Nach dem Klick auf „Inhalt laden” erscheint nichts oder erst nach Reload.
Prüfen Sie, ob die Vorschau-/Handler-Konfiguration des Blockers vollständig ist und ob ein JavaScript-Fehler in der Browser-Konsole auftaucht (oft ein Theme- oder Builder-Konflikt). Bei manchen Einbettungen hilft das JavaScript-Feld Initialisierung („Initialization”) des Content Blockers: Der dort hinterlegte Code (ohne <script>-Tags) wird bei jeder Freigabe erneut ausgeführt und initialisiert den Inhalt nach der Einwilligung neu (Stand: Juli 2026).
Der Content Blocker zeigt gar keine Vorschau. Dann fehlt im Blocker die Vorschau-HTML/-Konfiguration, oder ein aggressives CSS des Themes blendet die Box aus. Ergänzen Sie eine Vorschau und prüfen Sie im Zweifel das Styling (siehe /borlabs-cookie-styling/).
FAQ
Muss ich ein selbst gehostetes iframe von meiner eigenen Domain blockieren? Nein, sofern es keine Cookies setzt und keine personenbezogenen Daten an Dritte überträgt. Reine First-Party-Inhalte ohne Tracking benötigen keine vorherige Einwilligung und dürfen frei laden.
Worin unterscheiden sich Content Blocker und Script Blocker in Borlabs?
Der Content Blocker fängt eingebettete Inhalte wie iframes und Embeds ab und ersetzt sie durch eine Vorschau. Der Script Blocker verhindert die Ausführung von <script>-Tags (z. B. Tracking-Snippets) bis zur Einwilligung. Für ein YouTube-iframe ist der Content Blocker zuständig.
Kann ich für einen Dienst blocken, ohne einen eigenen Blocker zu bauen? Für viele bekannte Dienste ja – Borlabs liefert vordefinierte Content Blocker mit. Sie müssen den passenden Blocker nur aktivieren und den Cache leeren. Nur für unbekannte Quellen legen Sie einen neuen Blocker an.
Brauchen Sie Unterstützung bei DSGVO & Cookie-Consent (Borlabs & Co.)? Ypsilon.dev ist Ihre Webagentur aus Regensburg – jetzt kostenlose Erstberatung anfragen.