Neste codelab, confira como a política de mesma origem funciona ao acessar dados dentro de um iframe.
Configuração: página com um iframe de mesma origem
Esta página incorpora um iframe
, chamado iframe.html
, na mesma origem.
Como o host e o iframe compartilham a mesma origem, o site host pode acessar dados dentro do iframe e expor a mensagem secreta como um sopro.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Mudar para iframe de origem cruzada
Tente mudar o src
do iframe
para https://other-iframe.glitch.me/
.
A página do host ainda pode acessar a mensagem secreta?
Como o host e o iframe
incorporado não têm a mesma origem, o acesso aos dados é restrito.