En este codelab, observa cómo funciona la política del mismo origen cuando se accede a datos dentro de un iframe.
Configuración: Página con un iframe del mismo origen
Esta página incorpora un iframe, llamado iframe.html, en el mismo origen.
Como el host y el iframe comparten el mismo origen, el sitio host puede acceder a los datos dentro del iframe y exponer el mensaje secreto, como blow.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Cambiar a iframe de origen cruzado
Intenta cambiar la src de iframe a https://other-iframe.glitch.me/.
¿La página de host aún puede acceder al mensaje secreto?
Como el host y el iframe incorporado no tienen el mismo origen, se restringió el acceso a los datos.