Hallo Henry,

• gehe ich das falsch an?
• oder verstehe ich die Erklärung falsch?
• oder ist die Erklärung nicht richtig?

Die Erklärung ist falsch. allow-same-origin erlaubt es dem Dokument, die Origin zu behalten. Ansonsten wäre das eingebettete Dokument in einer eigenen, unique Origin. Z.B. wenn ich in einem sandboxed iframe ein Dokument von http://example.com lade, ist die Origin nicht https://example.com sondern eine eigene. Erst mit dem Attribut allow-same-origin wird die Origin https://example.com beibehalten. Damit hat der iFrame dann Zugriff auf die Daten (Cookies, local storage, etc) der Origin.

Es ist nicht möglich, auf das DOM des eingebetteten Dokuments zuzugreifen. Du kannst mit dem eingebetteten Dokument nur über Mechanismen wie window.postMessage kommunizieren.

Freundliche Grüße,
Christian Kruse