מדיניות מקור זהה & iframe

בקודלאב הזה תלמדו איך פועלת מדיניות המקור הזהה כשנכנסים לנתונים בתוך iframe.

הגדרה: דף עם iframe ממקור זהה

הדף הזה מטמיע iframe שנקרא iframe.html באותו מקור. מאחר שלמארח ול-iframe יש את אותו מקור, לאתר המארח יש גישה לנתונים בתוך ה-iframe, והוא יכול לחשוף את ההודעה הסודית כמו blow.

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

שינוי ל-iframe ממקורות שונים

אפשר לנסות לשנות את src של iframe לערך https://other-iframe.glitch.me/. האם לדף המארח עדיין יש גישה להודעה הסודית?

מכיוון שלמארח ול-iframe המוטמע אין את אותו מקור, הגישה לנתונים מוגבלת.