ใน Codelab นี้ ให้ดูวิธีการทำงานของนโยบายต้นทางเดียวกันเมื่อเข้าถึงข้อมูลภายใน iframe
ตั้งค่า: หน้าเว็บที่มี iframe ต้นทางเดียวกัน
หน้านี้ฝัง iframe ที่เรียกว่า iframe.html ในต้นทางเดียวกัน
เนื่องจากโฮสต์และ iframe ใช้ต้นทางเดียวกัน ไซต์โฮสต์จึงเข้าถึงข้อมูลภายใน iframe ได้และแสดงข้อความลับได้เหมือนกับการเป่าออก
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
เปลี่ยนเป็น iframe แบบข้ามต้นทาง
ลองเปลี่ยน src ของ iframe เป็น https://other-iframe.glitch.me/
หน้าโฮสต์ยังเข้าถึงข้อความลับได้ไหม
เนื่องจากโฮสต์และ iframe ที่ฝังไว้ไม่มีต้นทางเดียวกัน ระบบจึงจำกัดสิทธิ์เข้าถึงข้อมูล