In questo codelab, scopri come funzionano le norme same-origin quando si accede ai dati all'interno di un iframe.
Configura: pagina con un iframe della stessa origine
Questa pagina incorpora un iframe, chiamato iframe.html, nella stessa origine.
Poiché l'host e l'iframe condividono la stessa origine, il sito host è in grado di accedere ai dati all'interno dell'iframe ed esporre il messaggio segreto come blow.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Passare a un iframe cross-origin
Prova a cambiare src di iframe in https://other-iframe.glitch.me/.
La pagina dell'organizzatore può ancora accedere al messaggio segreto?
Poiché l'iframe host e quello incorporato non hanno la stessa origine, l'accesso ai dati è limitato.