Ich gehe davon aus, dass es sich dabei, um ein Sicherheitskonzept handelt, um Domainübergreifende Aufrufe zu verhindern.

ja, eine suche in der suchmaschine deiner wahl nach "firefox 3 xss" wird dir aufschluss geben - auf der mozilla seite hab ich auf die schnelle nix gefunden, auf drittseiten gibts aber tonnen an infos

der sinn dahinter ist, dass dritt-scripte nicht informationen von einem sicheren kontext in einen unsicheren und umgekehrt übertragen können

wenn der client verseucht ist, könnte man so mit javascript daten, die eigentlich gesichert übertragen werden sollen, zb von einem versteckten frame auslesen und an den angreifer übermitteln - damit hätte die gesicherte verbindung keinen sinn, wenn jemand zb die kreditkartendaten wärend dem eingeben ausliest

Gibt es Möglichkeiten, dass oben geschildertes funktionieren kann?

da bin ich überfragt - ggf über about:config