hi,

Der Kunde behauptet jetzt, dass es möglich wäre "onload" aus dem geladenen Dokument die Höhe des im iframe geladenen Dokumentes an die Seite die den iframe enthält zu übergeben.

Meines Erachtens geht das nicht?

Ja, genau. Also Nein, es geht nicht. [1]

Das wäre doch Cross Site Scripting?

Sagen wir so, die Same Origin Policy wäre da davor.
(Cross Site Scripting bezeichnet eher das Einschleusen von Code in fremde Dokumente, der dann dort ausgeführt oder interpretiert wird.)

Er behauptet dies nur steif und fest und ich bin jetzt ganz unsicher ;o)

Die m.W. einzige Situation, in der das ginge (von Bugs jetzt mal abgesehen), wäre ein entsprechend konfigurierter IE. Dort kann man in den Sicherheitseinstellungen für die jeweilige Zone angeben, dass man Scripte "über Domänengrenzen hinweg" (o.s.ä.) ausführen lassen möchte.
Aber dass nicht jeder seiner Kunden einen IE benutzt, und auch von denen die es tun kaum jemand diese riskante Einstellung seiner Seite zuliebe vornehmen wollen wird, sollte dein Kunde einsehen können.

gruß,
wahsaga