Norma stessa origine e iframe

Mariko Kosaka

In questo codelab, scopri come funzionano le norme same-origin quando si accede ai dati all'interno di un iframe.

Configurazione: pagina con un iframe della stessa origine

Questa pagina incorpora un iframe, chiamato iframe.html, nella stessa origine. Poiché l'host e l'iframe condividono la stessa origine, il sito host è in grado di accedere ai dati all'interno dell'iframe ed esporre il messaggio segreto come blow.

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

Passare a un iframe cross-origin

Prova a cambiare il src del iframe in https://other-iframe.glitch.me/. La pagina dell'organizzatore può ancora accedere al messaggio segreto?

Poiché l'iframe host e quello incorporato non hanno la stessa origine, l'accesso ai dati è limitato.