Hallo Martin,

autsch - ja. Edith hat gefixt. Äh. Hat's gefixt.

Zu file:// will ich gar nichts sagen, und zu file:/// sage ich: Ja, definitiv. Zwei file:///-URLs sind grundsätzlich cross-origin.

Dass LocalMachine die am wenigsten vertrauenswürdige Instanz ist, hat Tradition seit dem Zonenmodell des Internet Explorers und ist auch durchaus verständlich. User sind eine Gefahr! Misstraue allem, was auf deren Festplatte kreucht und fleucht.

Dass in diesem Bad ein paar Kinder plantschen, die man mit ausschüttet, wird hingenommen. Das Denkmodell dabei dürfte sein: Wer Webseiten von file:/// betreibt, ist eh nur Laie und braucht keine komplexen Funktionen.

Ein Webserver ist schnell aufgesetzt. Unter Windows kann man den IIS aktivieren, oder man kann PHP -S verwenden, oder verwendet drei Gehirnzellen darauf, einen lokalen Apache oder nginx einzurichten. Falls ein User auf einem gemanagten Gerät arbeitet, dass all das nicht zulässt - nun ja, dann ist es sehr wahrscheinlich auch nicht im Sinne der Gerätemanager, dass dieser User sich eigene HTML Seiten mit aktiven Inhalten bastelt.

Vermutlich gibt's Anwendungsfälle, die ich übersehe und die mir

😡💨💩😲

einbringen. Was nichts nützt, denn ich habe ja nur spekuliert, was Motive sein könnten und bin nicht daran schuld, dass file:/// nicht vertraut wird.

Rolf