So, nach etwas Nachdenken hab ich mir einen Workaround gebaut und möchte es euch nicht vorenthalten:

1.) Ich lade als Popup ein Standard-HTML file (das kann ich dann für andere Popups wiederverwenden).
2.) Das HTML enthält einen iFrame, den ich dynamisch an die Größe des Popups anpasse (hab mir über die URL die Höhe und die Breits mitgegeben, da ich es nicht hinbekommen hab, die wahre Popupgröße auszulesen)
3.) Per onload lade ich in diesem iFrame meine eigentliche XML/XSL Seite (sogar dynamisch je nach Sprache)
4.) Das Schließen funktioniert nun einwandfrei und ohne diese blöde Sicherheitsabfrage des Browsers.