W tym ćwiczeniu poznasz zasady dotyczące tej samej domeny w przypadku dostępu do danych w ramce iframe.
Konfiguracja: strona z elementem iframe z tej samej domeny
Ta strona zawiera element iframe o nazwie iframe.html w tym samym punkcie początkowym.
Ponieważ host i element iframe mają ten sam element docelowy, witryna hosta może uzyskać dostęp do danych w elemencie iframe i ujawnić tajną wiadomość, jak pokazano na ilustracji.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Zmień na element iframe z innych domen
Spróbuj zmienić src w elemencie iframe na https://other-iframe.glitch.me/.
Czy strona hostująca nadal będzie uzyskiwać dostęp do tajnej wiadomości?
Ponieważ host i umieszczony w nim element iframe nie mają tego samego źródła, dostęp do danych jest ograniczony.