Wenn man einen Iframe eines Drittanbieters (zum Beispiel ein Widget) einbindet, kann man weder mit CSS noch mit JavaScript (aufgrund der sog. Same-origin policy) auf dessen Inhalt zugreifen. Es gibt jedoch ein sehr einfaches Verfahren, um trotzdem beliebigen Code (auch in weiteren Dateien, die innerhalb des Iframes nachgeladen werden) zu modifizieren. Dazu leitet man die URL durch einen eigenen PHP-Proxy und modifiziert den Inhalt nach Belieben.
Einige Anbieter prüfen (meist schlecht als recht), ob die aktuelle Origin der externen Domain entspricht und stoppen ansonsten. Aber da wir alle Karten in der Hand haben, können wir diese Checks einfach aushebeln. Durch relativ simple Code-Analyse lassen sich damit quasi alle Scripte (selbst stark gesicherte Google Sheets Einbettungen innerhalb von Iframes) modifizieren. Anbei eine simple Version des Proxys (wobei die $receipts-Variable bewusst nur mit harmlosen Beispieldaten gefüllt ist):
50e04665c777c53c6cea8a8601f57bbf
Was man nun nur noch tun muss, ist das src-Attribut des Iframes zu ändern und der Spaß kann beginnen:
50e04665c777c53c6cea8a8601f57bbf
Wer Rezepte austauschen will, kann sich gerne per PM bei mir melden. Happy hacking!