IFrames sind so eine sache, jeder IFrame bekommt Systemweit eine interne ID (nicht den Fensternamen!) über den man ihn (zumindest unter windows) adressieren kann. Was wenn man z.B. weiß das sein Ziel Iframes in einer Seite hat die er häufig benutzt e.g. ein Admintool ideal als sicherheitslücke ausnutzen kann. Daher würde ich Iframes wenn überhaupt nur an stellen einsetzen an denen nicht durch den Selben Browser (Browser, nicht Browsertab oder INSTANZ sondern System weit Browser!) Zwangsläufig sicherheitskritische Informationen übertragen werden.