이 Codelab에서는 iframe 내의 데이터에 액세스할 때 동일 출처 정책이 작동하는 방식을 알아봅니다.
설정: 동일한 출처의 iframe이 있는 페이지
이 페이지는 동일한 출처에 iframe.html
라는 iframe
를 삽입합니다.
호스트와 iframe은 동일한 출처를 공유하므로 호스트 사이트는 iframe 내부의 데이터에 액세스하여 다음과 같이 비밀 메시지를 노출할 수 있습니다.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
교차 출처 iframe으로 변경
iframe
의 src
를 https://other-iframe.glitch.me/
로 변경해 보세요.
호스트 페이지에서 여전히 비밀 메시지에 액세스할 수 있나요?
호스트와 삽입된 iframe
의 출처가 다르므로 데이터에 대한 액세스가 제한됩니다.