W tym ćwiczeniu poznasz zasady dotyczące tej samej domeny w przypadku dostępu do danych w ramce iframe.
Konfiguracja: strona z elementem iframe z tej samej domeny
Ta strona zawiera element iframe
o nazwie iframe.html
w tym samym punkcie początkowym.
Ponieważ host i element iframe mają ten sam element docelowy, witryna hosta może uzyskać dostęp do danych w elemencie iframe i ujawnić tajną wiadomość, jak pokazano na ilustracji.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Zmień na element iframe z innej domeny
Spróbuj zmienić src
elementu iframe
na https://other-iframe.glitch.me/
.
Czy strona hosta nadal ma dostęp do tajnej wiadomości?
Ponieważ host i umieszczony w nim element iframe
nie mają tego samego źródła, dostęp do danych jest ograniczony.