นโยบายต้นทางเดียวกัน & iframe

Mariko Kosaka

ในโค้ดแล็บนี้ ให้ดูว่านโยบายแหล่งที่มาเดียวกันทํางานอย่างไรเมื่อเข้าถึงข้อมูลภายใน iframe

หน้านี้ฝัง iframe ชื่อ iframe.html ในต้นทางเดียวกัน เนื่องจากโฮสต์และ iframe นั้นใช้แหล่งที่มาเดียวกัน เว็บไซต์โฮสต์จึงเข้าถึงข้อมูลภายใน iframe และแสดงข้อความลับได้ดังตัวอย่างด้านล่าง

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

การเปลี่ยนแปลง iframe แบบข้ามต้นทาง

ลองเปลี่ยน src ของ iframe เป็น https://other-iframe.glitch.me/ หน้าโฮสต์จะยังเข้าถึงข้อความลับได้ไหม

เนื่องจากโฮสต์และ iframe ที่ฝังไม่มีแหล่งที่มาเดียวกัน จึงมีการจํากัดการเข้าถึงข้อมูล