boobeeさん、こんにちは。

なるほど。403エラーで、ずっと移行先の方を疑ってましたが、action属性そのものがおかしかったんですね。

しかし、リンク先の解決策はややおかしいですね。

$_SERVER['SCRIPT_NAME'] が、'./cgi-bin/php' であることは、CGI版ならある意味正常です。
むしろ、$_SERVER['PHP_SELF'] の代わりに $_SERVER['SCRIPT_NAME'] を使っているexFrame側のミスと言えなくもありません。

かといって、$_SERVER['PHP_SELF'] って、PHPのバージョン次第では、ここにXSSを送り込めますし…（リンク先の解決法では、もっと問題は大きくなります。安全である、という前提でSCRIPT_NAMEを使っている部分があったら、いつの間にかPHP_SELFに置き換わっているのですから。）

こういう場合、actionは空欄が良いのですが、それだと単純置換ってわけにはいかないでしょうし。

Protectorを使っている、という前提で、exFrame に存在する全ての $_SERVER['SCRIPT_NAME'] を $_SERVER['PHP_SELF'] に書き換える、ってあたりが一番無難な対応でしょうか。

minahitoさんが、$_SERVER['SCRIPT_NAME'] を空欄ベースに置き換えた exFrame をリリースしてくれるのが一番ではあるのですが。