我已经注意到很长一段时间,当你尝试复制链接位置或在Facebook上打开一个链接时,它会修改链接并传递它l.php.
例如,我可以被发送到
http://www.facebook.com/l.php?u=http%3A%2F%2Fwww.google.com%2F&h=DKVUritNDJDJLDLVbldoDLFKBLOD5dlfDJY_-d3fgDUaA9b
即使我的浏览器将链接预览呈现为http://www.google.com/.
今天,我使用Firebug进行了仔细研究,发现Facebook投入onmousedown="UntrustedLink.bootstrap($(this)[...]了<a>标签.第二个我右键单击链接,我看到hrefFirebug中的属性更改.
这让我担心.
我们很多人给不太精通技术的人提供的建议(在点击之前检查链接带你到哪里,这样你就不会成为网络钓鱼的受害者)现在似乎变得毫无用处.这不是安全隐患吗?网络钓鱼网站不能滥用这个吗?
为什么浏览器不会通过禁止onmousedown更改href或通过在读取href属性之前运行javascript 来阻止此行为,以便我被发送到我认为我要去的位置,而不是在我点击它时的一个更改?
编辑:我想简单地强调,除了网络钓鱼的风险之外,困扰我的是用户被误导,我觉得这种情况可能会发生,无论是否受信任来源.