Las reglas reales de los archivos a los que puede acceder un archivo html local dependen del navegador. Chrome es mucho más estricto que otros navegadores. Firefox permite el acceso a los archivos en la misma carpeta y en la jerarquía de carpetas que yo recuerde.
Las personas comunes con poco conocimiento de fondo pueden guardar un archivo html con una receta de cocina, un extracto del libro, una guía de viaje, etc. en su carpeta de inicio. Ellos no excepto que tal documento sea peligroso. Teniendo esto en cuenta, parece sensato, evitar que los archivos .html guardados accedan a otros archivos locales.
Para citar a alguien en el informe de error al que se hace referencia:
¿a quién le importa si una página web puede leer los números de su tarjeta de crédito al cegar los nombres de los archivos de adivinación en su directorio de perfil? En realidad, no puede hacer nada con ellos si el acceso a los recursos de Internet está correctamente restringido.
La condición en la parte "si" no se cumple: la misma política de origen no se aplica a los archivos de imagen y los scripts cargados a través de la etiqueta de secuencia de comandos, por nombrar solo dos ejemplos. Por lo tanto, un JavaScript que se ejecuta localmente puede filtrar información a un servidor en Internet al codificarlo en una URL.
Especialmente, guardar en la carpeta de inicio es problemático, porque al menos en los sistemas UNIX, hay archivos conocidos con información confidencial como: mbox, .gnupg / secring.gpg, .ssh / id_rsa, .ssh / id_rsa. pub.
Proporcionar un servidor http local sin instalación es una solución para este problema.