Mir ist ja klar, dass Cross Site Scripting regulär unterbunden wird (auch wenn die Browserhersteller massiv daran arbeiten, das mit den nächsten Versionen zu ändern), aber wieso kann ich die URL des öffnenden Fensters manipulieren, die URL eines darinliegenden IFrames aber nicht?

Weil du nicht auf den Inhalt einer fremden Seite mit JS zugreifen darfst.

Struppi.