En este codelab, verás cómo funciona la política del mismo origen cuando se accede a datos dentro de un iframe.
Configuración: Página con un iframe del mismo origen
Esta página incorpora un iframe, llamado iframe.html, en el mismo origen.
Dado que el host y el iframe comparten el mismo origen, el sitio host puede acceder a los datos dentro del iframe y exponer el mensaje secreto como se muestra a continuación.
const iframe = document.getElementById('iframe');
const message = iframe.contentDocument.getElementById('message').innerText;
Cambio a iframe de origen cruzado
Intenta cambiar el src de iframe a https://other-iframe.glitch.me/.
¿La página del host puede acceder al mensaje secreto?
Dado que el host y el iframe incorporado no tienen el mismo origen, el acceso a los datos está restringido.