जैसा कि GitHub's blog में देखा गया है, उन्होंने पेड़ ब्राउज़िंग (आधुनिक ब्राउज़रों के लिए) HTML5's JavaScript pushState सुविधा लागू की है, जिससे AJAX नेविगेशन without Hash Bangs लाया जा रहा है।संभावित सामग्री फर्जीज़ के खिलाफ पुशस्टेट कैसे सुरक्षा करता है?
कोड सरल है:
$('#slider a').click(function() {
history.pushState({ path: this.path }, '', this.href)
$.get(this.href, function(data) {
$('#slider').slideTo(data)
})
return false
})
यह काफी सुंदर ढंग से उन्हें अनुमति देता है:
- अनुरोध एक पूरा पृष्ठ
- के बजाय AJAX के माध्यम से सिर्फ नई सामग्री संक्रमण एनिमेट
- और ब्राउज़र यूआरएल बदलें (न केवल
#, के रूप में ट्विटर — twitter.com/stackexchange → twitter.com/#!/stackexchange) करता है
मेरा प्रश्न है, कैसे जावास्क्रिप्ट pushState के इस्तेमाल के खिलाफ एक वेबसाइट द्वारा एक ठोस phishing attack में जिसके परिणामस्वरूप एक और की नकल करने, रोकने करता है?
कम से कम ऐसा लगता है कि डोमेन को बदला नहीं जा सकता है, लेकिन साइट के भीतर कई पथों के बारे में क्या है, संभावित रूप से एकाधिक असंबद्ध और अविश्वसनीय सामग्री प्रदाताओं द्वारा? क्या एक पथ (आईई /जो) अनिवार्य रूप से एक और (पुशस्टेट /जेन) का अनुकरण कर सकता है और संभावित रूप से दुर्भावनापूर्ण उद्देश्यों के साथ अनुकरण सामग्री प्रदान कर सकता है?