ב-Codelab הזה רואים איך פועלת מדיניות המקור הזהה כשניגשים לנתונים בתוך iframe.
הגדרה: דף עם iframe ממקור זהה
בדף הזה מוטמע iframe, שנקרא iframe.html, באותו המקור.
מאחר שהמארח וה-iframe חולקים את אותו מקור, האתר המארח יכול לגשת לנתונים בתוך ה-iframe ולחשוף את ההודעה הסודית כמו מכה.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
שינוי ל-iframe ממקורות שונים
כדאי לנסות לשנות את src של iframe לערך https://other-iframe.glitch.me/.
האם לדף המארח עדיין יש גישה להודעה הסודית?
מכיוון שלמארח ולiframe המוטמע אין אותו מקור, הגישה לנתונים מוגבלת.