동일한 출처 정책 및 iframe

Mariko Kosaka

이 Codelab에서는 iframe 내의 데이터에 액세스할 때 동일 출처 정책이 작동하는 방식을 알아봅니다.

설정: 동일 출처 iframe이 있는 페이지

이 페이지는 동일한 출처에 iframe.html라는 iframe를 삽입합니다. 호스트와 iframe은 동일한 출처를 공유하므로 호스트 사이트는 iframe 내부의 데이터에 액세스하여 다음과 같이 비밀 메시지를 노출할 수 있습니다.

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

교차 출처 iframe으로 변경

iframesrchttps://other-iframe.glitch.me/로 변경해 보세요. 호스트 페이지에서 여전히 비밀 메시지에 액세스할 수 있나요?

호스트와 삽입된 iframe의 출처가 다르므로 데이터에 대한 액세스가 제한됩니다.