นโยบายต้นทางเดียวกัน & iframe

ใน Codelab นี้ ลองดูวิธีการทำงานของนโยบายต้นทางเดียวกันเมื่อเข้าถึงข้อมูลภายใน iframe

ตั้งค่า: หน้าเว็บที่มี iframe ต้นทางเดียวกัน

หน้านี้ฝัง iframe ที่เรียกว่า iframe.html ในต้นทางเดียวกัน เนื่องจากโฮสต์และ iframe ใช้ต้นทางเดียวกัน เว็บไซต์ที่โฮสต์จะสามารถเข้าถึงข้อมูลภายใน iframe และแสดงข้อความลับได้ เช่น "เป่า"

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

เปลี่ยนเป็น iframe แบบข้ามต้นทาง

ลองเปลี่ยน src ของ iframe เป็น https://other-iframe.glitch.me/ หน้าโฮสต์ยังเข้าถึงข้อความลับได้ไหม

เนื่องจากโฮสต์และ iframe ที่ฝังไม่มีต้นทางเดียวกัน การเข้าถึงจึงถูกจำกัด