In diesem Codelab erfahren Sie, wie die Same-Origin-Richtlinie beim Zugriff auf Daten in einem iFrame funktioniert.
Einrichtung: Seite mit einem iFrame mit demselben Ursprung
Diese Seite bettet eine iframe namens iframe.html im selben Ursprung ein.
Da Host und iFrame den gleichen Ursprung haben, kann die Hostwebsite auf Daten innerhalb des iFrames zugreifen und die geheime Botschaft wie ein Schlag preisgeben.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Zu ursprungsübergreifendem iFrame wechseln
Versuchen Sie, „src“ von „iframe“ in „https://other-iframe.glitch.me/“ zu ändern.
Kann die Hostseite weiterhin auf die geheime Nachricht zugreifen?
Da der Host und die eingebettete iframe nicht denselben Ursprung haben, ist der Zugriff auf die Daten eingeschränkt.