Я пытаюсь <iframe sandbox> YouTube iframe_api, чтобы предотвратить доступ к конфиденциальным данным в главном окне.
У меня есть песочница iframe, которая содержит js для вызова API, но чтобы заставить его работать, мне нужно дать ему sandbox="allow-same-origin", который побеждает всю цель, предоставляя ему доступ к главному окну. Пожалуйста, смотрите упрощенный пример кода.
https://codepen.io/anon/pen/qLJrxd
Есть ли другая рекомендация для песочницы API?