Hallo Henry,

danke, dass Du unsere Aufmerksamkeit auf dieses Thema lenkst. Das schreit nach einem Blog- oder Wiki-Artikel.

Die Import-Map muss bei dir im HTML Source stehen. Du kontrollierst sie also selbst.

Es gibt aber auch die Möglichkeit, das Script-Element mit der importMap darin dynamisch anzulegen, und dann könnte man meinen, dass ein böses Script mit einer Map dafür sorgt, dass Module auf einmal von ganz wo anders geladen werden.

Aber: Ohne Import-Maps musst Du in import-Statements immer den Modulnamen mit einem Schema, einem / oder einem . beginnen lassen.

   import func from "mymodule.js"

geht meines Wissens ohne eine Import Map nicht. Wenn deine Seite also ECMAScript-Module verwendet und nicht auf Import Maps ausgelegt ist, dann bewirkt eine Import Map gar nichts. Denn Modulnamen mit einem absoluten oder relativen Pfad (also . oder / am Anfang) kann man nicht mappen, wenn ich das richtig verstehe.

Und eine Import Map ist ein Highlander - es kann nur eine geben. Ist schon eine da, nützt das Hinzufügen einer weiteren Import Map nichts.

Ob man per Script die alte Importmap löschen und eine neue setzen kann, das habe ich nicht ausprobiert. Es gibt also durchaus Forschungspotenzial für Sicherheitslücken. Magst Du dafür Zeit investieren?

Rolf