ב-Codelab הזה, תוכלו לראות איך מדיניות המקור הזהה פועלת כשניגשים לנתונים בתוך iframe.
הגדרה: דף עם iframe מאותו מקור
בדף הזה מוטמע iframe, שנקרא iframe.html, באותו מקור.
מכיוון שהמארח וה-iframe חולקים אותו מקור, האתר המארח יכול לגשת לנתונים בתוך ה-iframe ולחשוף את ההודעה הסודית כגון blow.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
שינוי ל-iframe ממקורות שונים
כדאי לנסות לשנות את src של iframe לערך https://other-iframe.glitch.me/.
האם הדף המארח עדיין יכול לגשת להודעה הסודית?
מכיוון שלמארח ול-iframe המוטמע אין מקור זהה, הגישה לנתונים מוגבלת.