Mir ist die Same-Origin-Policy durchaus klar - ich verstehe nur nicht, warum das eine geht und das andere nicht.

Naja, so ganz klar ist dir sie doch nicht.

Dann muss ich wohl doch mal ein wenig weiter ausholen, denn verstehen möchte ich es schon - auch wenn es keine Lösung gibt.

Fenster1 (auf welches ich absolut keinen Einfluss habe!):
Domain: abc.de
Führt aus: window.open(Fenster2)

Fenster2 (dort kann ich Code einsetzen):
Domain: abc.de
Von mir eingesetzt: SCRIPT type=text/javascript src=http://xyz.de
Führt aus: window.open(Fenster3) und Fenster3.write(code)

und Fenster3 ist folglich von der Domain xyz.de geöffnet worden und hat keinen Zugriff auf abc.de

Fenster3 (vollständig von mir kontrollierbar):
Domain: sollte m.E. abc.de sein

Nein.

Warum geht es von Fenster3 auf Fenster2, aber nicht von 2 auf 1 oder von 3 auf 1?

Fenster öffnen kannst du soviele du lustig bist (so es der Popupblocker zuläßt) von so vielen Domains wie du möchtest, nur hast du dann weder Zugriff auf den Inhalt der seite noch die Seite auf den Inhalt von opener.

Also schlägt der Zugriff auf .document in beiden Fällen fehl.

Struppi.