Moin!

<klugscheissmodus>Stimmt nicht ganz. Z.B. ist es nicht moeglich, mit JS auf Fenster zuzugreifen, die ihren Inhalt per https bekommen (auch, wenn sie z.B. im gleichen Frameset liegen). Der Browser macht also auf jeden Fall eine Unterscheidung.</klugscheissmodus>

Das gilt aber nur, wenn das Javascript und das Frameset per http übertragen wurden. Wenn alle Elemente rein per https übertragen wurden, gilt das nicht. Bzw: Das ist die klassische Cross-Domain-Policy, die Datenklau verhindern soll. Und gerade hier ist sie besonders gut angebracht.

- Sven Rautenberg