Sicherheit ist ja gut aber ich will doch nur den Inhalt von Tags auslesen die sowieso auch im Fenster des IE angezeigt werden. Da sehe ich kein Sicherheitsrisiko aber daran hat Microsoft wahrscheinlich nicht gedacht.

Nein, du hast nicht an die Möglichkeiten gedacht die sich damit öffnen, genau wie die Browser Entwickler die diese Möglichkeit anfänglich eingebaut hatte.

Da der Browser die ich ja nicht kennen kann ergibt sich folgende Situation.

Seite von Server A lädt Seite von Server B.

Angenommen du hast den Server A dann kannst du ein blindes Frameset erzeugen in dem die Seite von Server B anhezeigt wird. Bisher hierhin alles kein Problem.

angenommen die Seite B ist dein Online Banking oder dein Online Postfach. jetzt könnte A z.b. ein JS schreiben, dass entweder das Formular verändert und einen submit Handler umbiegt, der die einlog Daten zusätzlich an ein Skript auf deinem server schickt z.b. mit dem Image() Objekt.

Selbst wenn du nur lesenden Zugriff hättest, könntest du alle paar Sekunden den Inhalt der Seiten auf deinen Server übertragen.

Und ich denke das auch mir nicht alle Möglichkeiten einfallen würden, da böse Buben in der Regel mehr Fantasie haben.

Struppi.