Zasada dotycząca tego samego źródła i element iframe

Mariko Kosaka

W tym ćwiczeniu poznasz zasady dotyczące tej samej domeny w przypadku dostępu do danych w ramce iframe.

Konfiguracja: strona z elementem iframe z tej samej domeny

Ta strona zawiera element iframe o nazwie iframe.html w tym samym punkcie początkowym. Ponieważ host i element iframe mają ten sam element docelowy, witryna hosta może uzyskać dostęp do danych w elemencie iframe i ujawnić tajną wiadomość, jak pokazano na ilustracji.

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

Zmień na element iframe z innych domen

Spróbuj zmienić src w elemencie iframe na https://other-iframe.glitch.me/. Czy strona hostująca nadal będzie uzyskiwać dostęp do tajnej wiadomości?

Ponieważ host i umieszczony w nim element iframe nie mają tego samego źródła, dostęp do danych jest ograniczony.