O Internet Explorer 8 tem um novo recurso de segurança, umFiltro XSS que tenta interceptar tentativas de script entre sites. É descrito assim:

O Filtro XSS, um recurso novo no Internet Explorer 8, detecta JavaScript em solicitações URL e HTTP POST. Se JavaScript for detectado, o Filtro XSS procurará evidências de reflexão, informações que seriam retornadas ao site de ataque se a solicitação de ataque fosse enviada inalterada. Se a reflexão for detectada, o Filtro XSS limpará a solicitação original para que o JavaScript adicional não possa ser executado.

Eu estou achando que o filtro XSS entra em ação mesmo quando não há "evidência de reflexão", e estou começando a pensar que o filtro simplesmente percebe quando uma solicitação é feita para outro site e a resposta contém JavaScript.

Mas mesmo isso é difícil de verificar porque o efeito parece ir e vir. O IE tem diferentes zonas e, quando penso que reproduzi o problema, o filtro não entra mais em ação e não sei por quê.

Alguém tem alguma dica sobre como combater isso? O que o filtro realmente está procurando? Existe alguma maneira de um bom rapaz postar dados em um site de terceiros que possa retornar HTML para ser exibido em um iframe e não acionar o filtro?

Plano de fundo: estou carregando uma biblioteca JavaScript de um site de terceiros. Esse JavaScript coleta alguns dados da página HTML atual e os publica no site de terceiros, que responde com algum HTML a ser exibido em um iframe. Para vê-lo em ação, visite umAOL Food página e clique no ícone "Imprimir" logo acima da história.