この Codelab では、iframe 内のデータにアクセスする場合の同一オリジン ポリシーの動作を確認します。
設定: 同一オリジンの iframe を使用するページ
このページには、同じオリジンに iframe.html という iframe が埋め込まれています。
ホストと iframe は同じオリジンを共有しているため、ホストサイトは iframe 内のデータにアクセスし、一気に一気に秘密のメッセージを暴露することができます。
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
クロスオリジンの iframe に変更
iframe の src を https://other-iframe.glitch.me/ に変更してみてください。
ホストページはシークレット メッセージに引き続きアクセスできますか?
ホストと埋め込み iframe の生成元が異なるため、データへのアクセスは制限されます。