Kebijakan Asal yang Sama & iframe

Mariko Kosaka

Dalam codelab ini, lihat cara kerja kebijakan origin yang sama saat mengakses data di dalam iframe.

Penyiapan: Halaman dengan iframe dengan origin yang sama

Halaman ini menyematkan iframe, yang disebut iframe.html, di origin yang sama. Karena host dan iframe memiliki origin yang sama, situs host dapat mengakses data di dalam iframe dan mengekspos pesan rahasia seperti ledakan.

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

Ubah ke iframe lintas origin

Coba ubah src dari iframe menjadi https://other-iframe.glitch.me/. Apakah halaman host masih dapat mengakses pesan rahasia?

Karena host dan iframe tersemat tidak memiliki asal yang sama, akses ke data dibatasi.