Aloha ;)

wenn das möglich wäre, könnte man mit einem Script die lokalen Ressourcen ausforschen.

Inwiefern? Welche Art von Erkenntnis kann man da woraus ziehen? Das wird doch dann im Zweifel wieder durch die Same-Origin Policy verhindert, wenn ich mich nicht irre, da man die Ressourcen cross-origin zwar einbinden, aber nicht mit JS darauf zugreifen kann. Oder übersehe ich einen zusätzlichen Aspekt?

Naja, man könnte ein Bild mit der URL https://example.org/bild.jpg?text=geheime+Daten einbinden, das müsste eigentlich gehen.

Naja, nein. Das wäre ein Weg, geheime Daten an einen x-beliebigen Server zu versenden, richtig. Es ging aber darum, wie man überhaupt an die Daten kommt.

Ich halte das übrigens nicht für eine Sicherheitslücke. Informationen, die die Webseite schon hat darf sie von sich aus ja auch weitergeben. Same-Origin Policy soll die Daten einer anderen Quelle vor dem (automatisierten) Auslesen schützen, nicht zwangsläufig das Weitergeben von Daten verhindern, die die Webseite schon kennt; und genau das Auslesen ist ja das, was schutzbedürftig ist, nicht zwangsläufig das weitergeben.

Grüße,

RIDER