ב-codelab הזה תלמדו איך פועלת מדיניות המקור הזהה כשנכנסים לנתונים בתוך iframe.
הגדרה: דף עם iframe מאותו מקור
בדף הזה מוטמע iframe
שנקרא iframe.html
באותו מקור.
מכיוון שלמארח ול-iframe יש את אותו מקור, לאתר המארח יש גישה לנתונים בתוך ה-iframe, והוא יכול לחשוף את ההודעה הסודית כמו blow.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
שינוי ל-iframe חוצה-מקורות
אפשר לנסות לשנות את src
של iframe
לערך https://other-iframe.glitch.me/
.
האם לדף המארח עדיין יש גישה להודעה הסודית?
מכיוון שלמארח ול-iframe
המוטמע אין את אותו מקור, הגישה לנתונים מוגבלת.