Это относится к тому факту, что пользователь, просматривающий страницу, может видеть содержимое iframe, но сценарии, запущенные на странице кадрирования, не могут получить доступ к содержимому страницы в рамке. Аналогично, предположим, что тег <img> покажет пользователю изображение из любого источника, но сценарии на странице, содержащей тег <img>, могут не прочитать содержимое загруженного изображения.
Это важно, потому что страница в рамке имеет другое происхождение и была выбрана с использованием файлов cookie этого источника. Предположим, что страница в рамке была mail.google.com: конечно, я не хочу, чтобы какая-либо случайная веб-страница читала содержимое моего почтового ящика, просто загружая его в iframe. Однако, просто показ страницы для меня, пользователя, который вошел в мою почтовую службу, безвреден.