Hallo Martin,

Aber m.E. sollte man das Verhalten (also ob Zugriff erlaubt oder nicht) eher an den Host als an das (Pseudo-)Protokoll knüpfen.

Das Verhalten hängt am Origin, und der ist als schema-abhängig spezifiziert.

Und für file: ist die Spec ziemlich gemein:

Unfortunate as it is, this is left as an exercise to the reader. When in doubt, return a new opaque origin.

Heißt für mich: Die Leute bei WhatWG konnten sich nicht einigen. Abgesehen davon gibt's bei file:/// keinen Host, gelle? Andererseits ist file://localhost/ genauso zulässig, und wenn www.example.org auf die Maschine zeigt, auf der file://www.example.org/C:/foo angesprochen wird, ist das ebenfalls okay. Sagt RFC8089. Wie soll man da einen validen und eindeutigen Origin bilden?!

Rolf