В этой лаборатории кода вы увидите, как работает политика одного и того же происхождения при доступе к данным внутри iframe.
Настройка: страница с iframe того же происхождения.
Эта страница встраивает iframe с именем iframe.html в тот же источник. Поскольку хост и iframe имеют один и тот же источник, хост-сайт может получить доступ к данным внутри iframe и раскрыть секретное сообщение, как удар.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Переход на iframe с перекрестным происхождением
Попробуйте изменить src iframe на https://other-iframe.glitch.me/ . Может ли хост-страница получить доступ к секретному сообщению?
Поскольку хост и встроенный iframe имеют разное происхождение, доступ к данным ограничен.