سياسة المصدر نفسه وإطار iframe

في هذا الدرس التطبيقي حول الترميز، تعرّف على آلية عمل سياسة المصدر نفسه عند الوصول إلى البيانات داخل إطار iframe.

عملية الإعداد: صفحة تحتوي على إطار iframe من المصدر نفسه

تتضمّن هذه الصفحة iframe، يُسمى iframe.html، في المصدر نفسه. بما أنّ المضيف وإطار iframe يتشاركان في الأصل نفسه، يمكن للموقع الإلكتروني المضيف الوصول إلى البيانات داخل إطار iframe وكشف الرسالة السرية مثل الانفجار.

const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;

تغيير إلى إطار iframe متعدد المصادر

يُرجى محاولة تغيير src من iframe إلى https://other-iframe.glitch.me/. هل سيظل بإمكان الصفحة المضيفة الوصول إلى الرسالة السرية؟

بما أنّ المضيف وiframe المضمّنَين ليسا لهما المصدر نفسه، يتم حظر الوصول إلى البيانات.