prova ad aggiungere document.domain="miodominio.org"; anche nella principale

se realmente il dominio e' di terzo livello non dovresti incorrere in tentativo di xss