In questo codelab, scopri come funzionano le norme same-origin quando si accede ai dati all'interno di un iframe.
Configurazione: pagina con un iframe della stessa origine
Questa pagina incorpora un iframe
, chiamato iframe.html
, nella stessa origine.
Poiché l'host e l'iframe condividono la stessa origine, il sito host è in grado di accedere ai dati all'interno dell'iframe ed esporre il messaggio segreto come blow.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Passare a un iframe cross-origin
Prova a cambiare il src
del iframe
in https://other-iframe.glitch.me/
.
La pagina dell'organizzatore può ancora accedere al messaggio segreto?
Poiché l'iframe
host e quello incorporato non hanno la stessa origine, l'accesso ai dati è limitato.