En este codelab, verás cómo funciona la política del mismo origen cuando se accede a datos dentro de un iframe.
Configuración: Página con un iframe del mismo origen
En esta página, se incorpora un iframe, llamado iframe.html, en el mismo origen.
Dado que el host y el iframe comparten el mismo origen, el sitio host puede acceder a los datos dentro del iframe y exponer el mensaje secreto como si se tratara de un soplado.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Cambio en el iframe de origen cruzado
Intenta cambiar el src de iframe a https://other-iframe.glitch.me/.
¿La página de host aún puede acceder al mensaje secreto?
Dado que el host y el iframe incorporado no tienen el mismo origen, se restringe el acceso a los datos.