Подмена href при обработке события onclick. Является ли это проблемой безопасности браузера?

Question

[student_it]

Сегодня мне понадобилось сделать так, чтобы после нажатия на ссылку её адрес менялся на другой, чтобы при повторном нажатии уже можно было перейти на него. И внезапно оказалось, что это работает не так, как я себе это представлял, и может служить прекрасной возможностью для спамеров, мошенников и прочих нехороших людей.
Изначально сама ссылка выглядела так
<a href="#mail">E-mail</a>
Клик на ссылку обрабатывался примерно таким кодом:

function email_clicked()
{
      this.href = "mailto:me@example.com";
      return true;
}

При попытке нажать на ссылку я обнаружил, что переход уже происходит по подмененному адресу. То есть я нажимаю на одну ссылку, а меня перекидывает на другую.

Это означает, что какой-нибудь нехороший человек может сделать ссылку, якобы ведущую на безопасный сайт, но при нажатии перекидывающую на сайт с рекламой или вируснёй. Погуглив на эту тему, узнал, что эта лазейка известна ещё с 2009 года. (Чем-то это напоминает ситуацию с window.opener).
Вопрос: является ли это (с т.з. разработчиков браузеров) уязвимостью, багом, или же это "by design" и "так и должно быть, исправить нельзя"?

Comments

[napa3um]

Это критическая уязвимость, не слушайте всех дилетантов и провокаторов, которые попытаются усыпить вашу бдительность, обращайтесь в Интерпол и ООН.

[Виталий]

такое ощущение, что вы пытаетесь спарсить емайлы, а сайт динамически меняет дом и это вас бесит ) Во твы все это описали, а вас не смущает, что есть кнопки, на которых вообще хреф пользователю не показывается, но они его ведут дальше?

[Walt Disney]

Никаких новых возможностей по cравнению с E-mail это не даёт

[student_it]

Виталий: что касается парсинга e-mail - всё так и есть, с той лишь разницей, что это я пытаюсь так защитить e-mail от индексации спам-ботами. Естественно, в коде JavaScript он нигде не "светился" целиком, а склеивался из нескольких строк.

[Виталий]

student_it: как ваш оппонент могу вас расстроить, тот , кому будут нужны ваши данные, заберет их. Сейчас спарсить динамический дом стоит только времени и нагрузки на озу и процессор. Хотя можно пожертвовать удобством пользователей и выдавать емайлы в виде картинки, маленькое, но западло устроите.

Answer 1

[xmoonlight]

На то оно и событие onclick, чтобы в момент нажатия обрабатывать это нажатие так, как необходимо. Это не уязвимость никакая, а обычный js-код.
Можно понаделать тучу таких ссылок, только вот рано или поздно такой сайт останется совсем без посетителей, а пара-тройка жалоб пользователей о подозрительном веб-сайте (через браузер) сведут к абсолютному нулю его посещаемость.
Так что: да - так можно, да - это не уязвимость и не баг, НО - лучше так не делать и не вводить пользователей в заблуждение.

Answer 2

[boodda]

Это как вы выразились "by design".

Answer 3

[imdeveloper]

Так обычно делают те, то на рекламе за переходы хочет накрутится