Und nur, wenn er dort eingeloggt ist, soll er Zugriff auf meine Seite (in dem zweiten iFrame) bekommen. Das ist also ein Zugriffsschutz, ohne eigenem Login-System.

Nein, ist es nicht, da es von etwas Clientseitigem abhängt. Und das ist grundsätzlich deiner Kontrolle entzogen.

Auf meiner Seite sind keine Top-Secret-Daten, weswegen ich kein eigenes Login-System brauche / haben möchte, doch es soll nicht jeder Hans-Franz, der im I-Net unterwegs ist, diese Daten sehen können.

Entweder etwas ist geheim, also nur einem bestimmten Benutzerkreis zugänglich, dann brauchst du auch ein eigenes Login-System oder etwas ist öffentlich und der Benutzerkreis ist nicht eingeschränkt, dann ist es egal. Deine Anforderung ist seltsam.