Dann kann ich den Frameinhalt mit .location.href neu setzen. Diese Eigenschaft ist nicht geschützt!

Doch ist sie. Wenn nicht dann solltest du deinem Browserhersteller einen kräftigten Tritt in den Allerwertesten verpassen, so stark dass es vorne wieder rauskommt. Betroffen sind alle bei denen http://www.ploetzli.ch/forumtst/crossdomain.html etwas anderes als eine Fehlermeldung im Javascript-Log auslöst. (Hinweis: evt. könnten Popup-Blocker mit dem Beispiel interferieren.)

Im IE ist bei Cross-Frame Scripting "window.location.href" lese- aber nicht schreibgeschützt. Damit sollte eigentlich allen Sicherheitsbedürfnissen entsprochen sein.

Siehe auch: http://msdn.microsoft.com/workshop/author/om/xframe_scripting_security.asp

Gruß, Olaf