Dans cet atelier de programmation, découvrez comment fonctionne la règle du même origine lorsque vous accédez aux données d'un iFrame.
Configuration : page avec un iFrame de même origine
Cette page intègre un élément iframe
, appelé iframe.html
, dans la même origine.
Étant donné que l'hôte et l'iFrame partagent la même origine, le site hôte est en mesure d'accéder aux données à l'intérieur de l'iFrame et d'exposer le message secret de type "Blow".
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Passer à un iFrame inter-origines
Essayez de remplacer le src
de iframe
par https://other-iframe.glitch.me/
.
La page hôte peut-elle toujours accéder au message secret ?
Étant donné que l'hôte et l'iframe
intégré n'ont pas la même origine, l'accès aux données est limité.