woher nimmst Du diese Information, dass Browserhersteller "mit den nächsten Versionen" Cross Site Scripting angeblich wieder möglich machen wollen? Es wurde ja bisher mit Hochdruck daran gearbeitet, dass man das aus Sicherheitsgründen eben gerade nicht kann!

Okay, meine Darstellung ist nicht ganz richtig.
Beim IE 8 gehts "nur" um XDomainRequests, wobei ich noch nicht ganz verstanden habe, warum die auf einmal abgesichert sein sollen.
So weit ich das zumindest verstanden habe, scheint es nicht via W3 Access Control wie beim Firefox 3 zu laufen.