В Firefox 58 будет запрещён прямой переход на URL "data:"
В целях противодействия фишингу разработчики Mozilla приняли решение блокировать открытие в основной странице URL «data:», содержимое которых может быть использовано для отображения в адресной строке информации, вводящей пользователя в заблуждение (например, «data: text/html, https://auth.site.com/много пробелов…‹script›JavaScript-блок‹/script›»). Подобной нехитрой подстановки оказывается достаточно для обмана многих неквалифицированных пользователей, которые видя знакомый адрес не замечают подвоха и вводят параметры аутентификации, не обращая внимания на строку «data: text/html» перед именем домена. Блокировка вступит в силу в Firefox 58, релиз которого ожидается 23 января.
В Firefox 58 перестанет работать открытие ссылок «data:», которые включают в себя непосредственно данные страницы, через JavaScript-методы window.open («data:…») и window.location = «data:…», а также клики на ссылки с ‹a href=«data:…»› и редиректы через meta refresh и код состояния 302. При этом останутся работоспособны такие способы как явное копирование блока «data:» в адресную строку через буфер обмена и открытие блоков с MIME-типами «plain/text», «data: application/pdf», «data: application/json» и «image/*» (за исключением «data: image/svg+xml»).
© OpenNet