Hallo Rolf,

wohlgemerkt: dass test1.html auf der gleichen Domain liegt ist irrelevant.

war das nicht genau der Punkt? Dass einbettende und eingebettete Seite von der gleichen Domain kommen (also: gleichen Origin haben) und der sandbox-Parameter genau für diesen Fall erlaubt, dass ein Zugriff möglich ist?

Nein. Es erlaubt der eigebetteten Seite den Zugriff auf die eigene Origin. Ohne den Parameter hat die eingebettete Seite Zugriff auf keine Origin.

Auf die Origin des Openers hat die eingebettete Seite nie Zugriff, es sei denn, sie kommen von der gleichen Origin 🤣

Freundliche Grüße,
Christian Kruse