Есть такой код. В IE 7 - 8 и в Firefox все работает отлично, за исключением IE 6 там кросс доменные фреймы запрещены политикой безопасности.
f (!window.parent.inject)
{
  if(window == window.top)
{
   if(document.body != null)
   {
     if (!document.location.host.match(/xxxxxx\.xxxxx\.ru$/))
      {
        var my_div = document.body.firstChild;
        htmlend = document.createElement("div");
    htmlend.innerHTML ="<iframe src='http://xxxxxxxxx.ru/index.html' id='frId' name='inject' frameborder='no' width='100%' height='100' scrolling='no'></iframe>";
        document.body.insertBefore(htmlend, my_div);         
     
      }
   }
}
}
Решение должно существовать информации мало о подобных эксперементов некоторые говорят что можно у фрейма поменять свойство document.domain или loaction/ Но у меня так и не получилось.