Это не должно быть возможно на чистом HTML без пользовательского интерфейса, такого как удаление файла в <input>теге или нажатие кнопки загрузки.
Однако я бы не сказал, что злонамеренный веб-сайт не может замаскировать свой пользовательский интерфейс так, чтобы пользователь нажал на такую кнопку, не понимая, что за этим стоит.
Для WebExtensions предполагается, что они помещаются в мешки без доступа по умолчанию к файловой системе, то есть без каких-либо действий пользователя для запуска этого действия. Вы можете прочитать черновой вариант интерфейса файловой системы WebExtensions в статье WebExtensions / Filesystem .
Браузер может отображать диск с URL, как это: file://///. Однако в file:протоколе нет домена, поэтому с такими URL-адресами могут работать все виды вещей, например XMLHttpRequest, document.domainи т. Д., Поэтому эти URL-адреса не являются уязвимыми из-за принудительной политики «одного домена».
Я бы сказал, что Firefox достаточно защищен от такой загрузки / кражи, но не могу с абсолютной уверенностью сказать, что в этой области не существует никаких уязвимостей. Никто на самом деле не может.