In questo codelab, scopri come funziona il criterio della stessa origine quando accedi ai dati all'interno di un iframe.
Configurazione: pagina con un iframe della stessa origine
Questa pagina incorpora un elemento iframe, chiamato iframe.html, nella stessa origine.
Poiché l'host e l'iframe condividono la stessa origine, il sito host è in grado di accedere ai dati all'interno dell'iframe ed esporre il messaggio segreto come blow.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Passa a iframe multiorigine
Prova a cambiare il src di iframe in https://other-iframe.glitch.me/.
La pagina host può ancora accedere al messaggio segreto?
Poiché l'host e l'elemento iframe incorporato non hanno la stessa origine, l'accesso ai dati è limitato.