Norma stessa origine e iframe

Mariko Kosaka

In questo codelab, scopri come funziona il criterio della stessa origine quando accedi ai dati all'interno di un iframe.

Configura: pagina con un iframe della stessa origine

Questa pagina incorpora un elemento iframe, denominato iframe.html, nella stessa origine. Poiché l'host e l'iframe condividono la stessa origine, il sito host è in grado di accedere ai dati all'interno dell'iframe e di esporre il messaggio segreto come "blow".

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

Passa a iframe multiorigine

Prova a cambiare src di iframe in https://other-iframe.glitch.me/. La pagina host può ancora accedere al messaggio segreto?

Poiché l'host e l'elemento iframe incorporato non hanno la stessa origine, l'accesso ai dati è limitato.