ב-Codelab הזה, תוכלו לראות איך מדיניות המקור הזהה פועלת כשניגשים לנתונים בתוך iframe.
הגדרה: דף עם iframe מאותו מקור
בדף הזה מוטמע iframe
, שנקרא iframe.html
, באותו מקור.
מכיוון שהמארח וה-iframe חולקים אותו מקור, האתר המארח יכול לגשת לנתונים בתוך ה-iframe ולחשוף את ההודעה הסודית כגון blow.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
שינוי ל-iframe ממקורות שונים
כדאי לנסות לשנות את src
של iframe
לערך https://other-iframe.glitch.me/
.
האם הדף המארח עדיין יכול לגשת להודעה הסודית?
מכיוון שלמארח ול-iframe
המוטמע אין מקור זהה, הגישה לנתונים מוגבלת.