Hi,

Soweit, so gut. Jeder mit JavaScript erzeugte bzw. manipulierte Hyperlink mit Remote-Ziel wird zu einem potenziellen Risiko, weil er zur Kommunikation mit dem Internet dienen kann (wenn auch die in der URL kodierbaren Informationen eingeschränkt sind). Angenommen, der IE würde bei allen obigen potenziellen Schnittstellen zum Internet Warnmeldungen ausgeben, so wäre die Nutzung einer Offline-Dokumentation wie SELFHTML auch ziemlich eingeschränkt. Aber du hast recht, gegenüber dem standardmäßigen kompletten Verbieten des lokalen Lesens/Einbindens wäre das eine Verbesserung.

genau. Und es wäre a) für dem IE leicht zu realisieren (der muß nur nach einer remote-URL scannen) und b) auch längst nicht so unpraktisch, wenn die Sicherheitsabfrage pro Seite nur einmal käme (wie jetzt ja auch, aber unabhängig von evtl. schädlichen Aktionen).
Darüber hinaus sollte man nicht vergessen, daß der IE Teil des Betriebssystems ist und auch dieses modifiziert werden könnte in der Art, daß vor einem Zugriff des IE die Quelle überprüft wird.

freundliche Grüße
Ingo