Ich grüsse den Cosmos,

Was soll preview.php denn liefern? Ein Bild? Eine HTML- Seite mit Bild?

Eine HTML-Seite mit Bild.

Gibt es auch dann einen Absturz, wenn du die Variable pic testweise durch einen festen Namen ersetzt, so in der Form

preview_window = window.open('preview.php?pic=pic1.gif', 'preview', ...

Den Absturz gibt es auch, wenn ich eine staische HTML-Seite aufrufe.
Auch, wenn $_GET['pic'] leer ist, muss das klappen, da das Popup bei einem Leerstring einen entsprechenden Hinweis ausgibt.

Welchen Inhalt hat der Parameter pic? Kann PHP damit korrekt umgehen? Darf es wahlweise gif, jpg, png, bmp, ... sein?

Der Inhalt kommt aus einer Textzeile, und stimmt auch. Im Opera und im IE wird das Popup ja richtig angezeigt. Da das Bild selbst vorhanden sein muss (wird im Script des Popups geprüft), erfolgt keine Überprüfung auf schädliche Dateinamen. Die werden eh ignoriert, wenn nicht vorher ein Bild mit entsprechenden Namen per FTP hochgeladen wurde ;)

Der Effekt ist exakt so, das ich auf den Link klicke, das Popup geht kurz auf und verschwindet sofort wieder. Allerdings bleibt der Thread hängen.

Möge das "Self" mit euch sein