Hallo Linuchs,
nein, lass die Abfrage auf message.origin nicht weg. Wenn man schon Origin-übergreifend kommuniziert, sollten beide Seiten sicherstellen, dass der richtige Kommunikationspartner da ist.
Deshalb solltest Du auch bei beiden Sites eine Content-Security-Policy setzen. Bei shanty-sfd sollte frame-src gesetzt werden, hier müssen alle Origins gelistet werden, aus denen Frames eingebunden werden. Und bei shantyfreun.de sollte frame-ancestors gesetzt werden, womit Du festlegst, welche Origins die Seite per iframe einbinden können.
Ich weiß nicht, wie viele Seiten remso einbinden. Wenn es überschaubar ist, solltest Du auch dafür frame-ancestors setzen.
Rolf
--
sumpsi - posui - obstruxi
sumpsi - posui - obstruxi