Neste codelab, você vai aprender como a política de mesma origem funciona ao acessar dados dentro de um iframe.
Configuração: página com um iframe da mesma origem
Esta página incorpora um iframe, chamado iframe.html, na mesma origem.
Como o host e o iframe compartilham a mesma origem, o site do host pode acessar dados dentro do iframe e expor a mensagem secreta como “blow”.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Alterar para iframe de origem cruzada
Tente mudar a src do iframe para https://other-iframe.glitch.me/.
A página do host ainda pode acessar a mensagem secreta?
Como o host e o iframe incorporado não têm a mesma origem, o acesso aos dados é restrito.