Здравствуйте, Pzz, Вы писали:

Pzz>>>Ограничения CORS придуманы, чтобы в релизе пользователя не взломали.

A>>А локальные файлы тут с какого боку? Если у меня уже есть доступ на запись к ФС юзера, про какую безопасность вообще можно говорить?

Pzz>Чтобы неизвестно откуда взявшийся JS не шарил по локальным файлам? В т.ч., не пытался их исполнять...

Выполнять код, разбитый на два неизвестно откуда взявшихся скрипта JS — безопасно, птички летают, солнышко светит, благорастворение воздусей.

Выполнять код, разбитый на два неизвестно откуда взявшихся модуля JS — голактего опасносте, повторяю, голактего опасносте!!!

Если разобраться, модули-то побезопаснее будут (из-за strict).

Кроме того, наличие "неизвестно откуда взявшегося JS" намекает на права доступа к ФС юзера. Если они у меня будут, я не стану размениваться на вызов скриптов браузера юзера, а спижжу сразу всю юзерскую директорию с куками и другими личными данными.

Наконец, что мешает ограничить допустимое пространство одним локальным скоупом? Ну, Хромиум не поддерживает res://, так что речь могла бы идти об одной папке. В рамках одной папки разбивай js на модули сколько хочешь.