Hallo,

Mir ist ja klar, dass Cross Site Scripting regulär unterbunden wird (auch wenn die Browserhersteller massiv daran arbeiten, das mit den nächsten Versionen zu ändern)

Cross-Site-Scripting wird immer unterbunden werden, weil die Same Origin Policy das wichtigste JavaScript-Sicherheitskonzept ist. Das einzige, was es geben wird, sind Cross-Domain-Messages und Cross-Domain-XMLHttpRequest. Beide arbeiten mit Opt-in.

wieso kann ich die URL des öffnenden Fensters manipulieren, die URL eines darinliegenden IFrames aber nicht?

Weil letzteres ein viel größeres Sicherheitsproblem darstellt. Der Benutzer könnte dadurch noch einfacher getäuscht werden.

Habe ich hier einfach noch nicht alles ausprobiert oder ist es einfach nicht so ganz logisch? :-)

Es ist völlig logisch.

Mathias