Dalam codelab ini, lihat cara kerja kebijakan origin yang sama saat mengakses data di dalam iframe.
Penyiapan: Halaman dengan iframe origin yang sama
Halaman ini menyematkan iframe
, yang disebut iframe.html
, di origin yang sama.
Karena host dan iframe memiliki origin yang sama, situs host dapat mengakses data di dalam iframe dan mengekspos pesan rahasia seperti ledakan.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Mengubah ke iframe lintas origin
Coba ubah src
dari iframe
menjadi https://other-iframe.glitch.me/
.
Apakah halaman host masih dapat mengakses pesan rahasia?
Karena host dan iframe
tersemat tidak memiliki asal yang sama, akses ke data dibatasi.