מדיניות מקור זהה & iframe

Mariko Kosaka

ב-codelab הזה תלמדו איך פועלת מדיניות המקור הזהה כשנכנסים לנתונים בתוך iframe.

בדף הזה מוטמע iframe שנקרא iframe.html באותו מקור. מכיוון שלמארח ול-iframe יש את אותו מקור, לאתר המארח יש גישה לנתונים בתוך ה-iframe, והוא יכול לחשוף את ההודעה הסודית כמו blow.

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

שינוי ל-iframe חוצה-מקורות

אפשר לנסות לשנות את src של iframe לערך https://other-iframe.glitch.me/. האם לדף המארח עדיין יש גישה להודעה הסודית?

מכיוון שלמארח ול-iframe המוטמע אין את אותו מקור, הגישה לנתונים מוגבלת.