Dans cet atelier de programmation, vous allez découvrir comment fonctionne une règle d'origine commune lorsque vous accédez aux données d'un iFrame.
Configuration: page avec un iFrame de même origine
Cette page intègre un iframe, appelé iframe.html, dans la même origine.
Étant donné que l'hôte et l'iFrame partagent la même origine, le site hôte peut accéder aux données à l'intérieur de l'iFrame et exposer le message secret comme blow.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Passer à un iFrame multi-origine
Essayez de remplacer le src de iframe par https://other-iframe.glitch.me/.
La page hôte a-t-elle toujours accès au message secret ?
Étant donné que l'hôte et le iframe intégré n'ont pas la même origine, l'accès aux données est limité.