「実際にやってみた」という図解をトラックバックで頂きましたのでご案内しておきます。id:cantor 様、ありがとうございます。

http://d.hatena.ne.jp/cantor/20061111

スクリプトでウィンドウをアドレスバー表示を抑制してポップアップする時に、そのウィンドウのコンテンツの存在するサイトのドメインが、親ウインドウのサイトのドメインと同じなのか異なるのか、でもってタイトルバー左端にURLが強制表示されるかどうかが決まっています。

• 同じドメイン　タイトルバーに強制URL表示しない
• 違うドメイン　タイトルバーに強制URL表示する

ですので、同じドメインなのに、あえて、タイトルバーにURLらしきマガイものを付け加えるとどうなるのか、ただそれだけなのです。

きっと強制表示されたURLに見えちゃうよ？というお話しなのですね。　だから信用できませんよ？　と。

言葉で書くと簡単だなぁ・・・ヘタレなので昨日のテストを作るのに3日ぐらいかかりました。駄目ジャン。

そういえば、モニターして頂いた人からお便りがありまして、くだんのテストの親ページにおいてポップアップされる子ページがA要素でリンクになっているわけですが、オンマウスオーバーで示されるステータスバー上のリンク先表示も右クリックからのコンテクストメニューのプロパティに表示されるリンク先URLでも、ニセモノになっているじゃないかと言われました。

意識して作ったわけではなくて、工藤兄弟の見分け方あたりのコンテンツをかっぱらって来ただけなのです。私なりに暴虐の限りを尽くして原型を留めていませんが。ま、target="_blank" な a要素 ってどうやって書くんだっけ？と、情けないほど学力がないので、事実上のコピー＆ペイスト、そして大改造、だったのですね。あうあう。

そういうわけでして、リンク先を知りたいよう、のステータス関連で言えば、別にアレは、脆弱性でもなんでもなくて、私の力の許す限り、ユーザビリティやアクセシビリティに配慮した結果に過ぎません。　ただし、わざとニセコンテンツに行ってしまっているだけなのです。

そもそもJavaScriptがオンなのですから、何でもアリなのでして。IEではアンカーからリンク先を知ることはソースを見ない限り難しいケースもあるのだということで。

うーむ。怪しいサイトへのリンクを踏まないってどうやるんでしょう？