ב-Codelab הזה רואים איך פועלת מדיניות המקור הזהה כשניגשים לנתונים בתוך iframe.
הגדרה: דף עם iframe ממקור זהה
בדף הזה מוטמע iframe
, שנקרא iframe.html
, באותו המקור.
מאחר שהמארח וה-iframe חולקים את אותו מקור, האתר המארח יכול לגשת לנתונים בתוך ה-iframe ולחשוף את ההודעה הסודית כמו מכה.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
שינוי ל-iframe ממקורות שונים
כדאי לנסות לשנות את src
של iframe
לערך https://other-iframe.glitch.me/
.
האם לדף המארח עדיין יש גישה להודעה הסודית?
למארח ול-iframe
המוטמע אין אותו מקור, הגישה לנתונים מוגבלת.