Mesma política de origem e iframe

Mariko Kosaka

Neste codelab, confira como a política de mesma origem funciona ao acessar dados dentro de um iframe.

Configuração: página com um iframe de mesma origem

Esta página incorpora um iframe, chamado iframe.html, na mesma origem. Como o host e o iframe compartilham a mesma origem, o site host pode acessar dados dentro do iframe e expor a mensagem secreta como um sopro.

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

Mudar para iframe de origem cruzada

Tente mudar o src do iframe para https://other-iframe.glitch.me/. A página do host ainda pode acessar a mensagem secreta?

Como o host e o iframe incorporado não têm a mesma origem, o acesso aos dados é restrito.