Política del mismo origen y iframe

Mariko Kosaka

En este codelab, verás cómo funciona la política del mismo origen cuando se accede a datos dentro de un iframe.

Configuración: Página con un iframe del mismo origen

En esta página, se incorpora un iframe, llamado iframe.html, en el mismo origen. Dado que el host y el iframe comparten el mismo origen, el sitio host puede acceder a los datos dentro del iframe y exponer el mensaje secreto como si se tratara de un soplado.

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

Cambio a iframe de origen cruzado

Intenta cambiar el src de iframe a https://other-iframe.glitch.me/. ¿La página del host puede acceder al mensaje secreto?

Dado que el host y el iframe incorporado no tienen el mismo origen, se restringe el acceso a los datos.