本地 html 文件可以访问哪些文件的实际规则取决于浏览器。Chrome 比其他浏览器要严格得多。据我所知，Firefox 允许访问同一文件夹中的文件，并沿着文件夹层次结构向下访问。

没有深入背景知识的普通人可能会将包含烹饪食谱、书籍摘录、旅行指南等的 html 文件保存到他们的主文件夹中。除了这样的文件之外，他们不认为是危险的。牢记这一点，防止已保存的 .html 文件访问其他本地文件似乎很明智。

在引用的错误报告中引用某人：

谁在乎网页是否可以通过盲目猜测您的个人资料目录中的文件名来读取您的信用卡号，如果对互联网资源的访问受到适当限制，它实际上无法对它们做任何事情。

不满足“if”部分的条件：同源策略不适用于通过脚本标签加载的图像文件和脚本，仅举两个例子。因此，本地运行的 JavaScript 可以通过将信息编码到 URL 中来将信息泄漏到 Internet 上的服务器。

尤其是保存到主文件夹是有问题的，因为 - 至少在 unix 系统上 - 有一些众所周知的文件包含敏感信息，例如：mbox、.gnupg/secring.gpg、.ssh/id_rsa、.ssh/id_rsa.pub。

提供免安装的本地 http 服务器是解决此问题的方法。