上周五，波兰研究人员Michal Zalewski发现了一个有趣的JavaScript小把戏，无论用户企图访问什么网站，都将被锁定在一个Web页面中。他的方法是利用一种JavaScript事件让浏览器以为已经在显示某个网页，但实际上却没有。

通过这一bug，onunload()事件将在用户离开某个网页时将触发JavaScript代码，而这一过程正是该JavaScript事件的用途。但之后，利用该漏洞可以往Web页面写入信息且不改变地址栏的显示URL，这样钓鱼者就可以用仿制网页来欺骗用户。

BetaNews在多台电脑上的IE7中测试了Zalewski的测试页面，包括两台XP电脑和一台运行于虚拟机中Vista。如果用户点击IE7地链接栏或收藏夹的链接，这一测试页面无法达到完美欺骗效果：用户会被锁定在测试页面，但地址栏显示的URL也是测试网页的。

不过如果是手动在IE7地址栏中输入新URL，用户就会被锁定在测试页面，而地址栏仍显示刚刚输入的新地址，也就是说达到了完美的欺骗效果。这时候如果用户再点击地链接栏或收藏夹的链接，情况依旧。显然，当IE7允许JavaScript处理onunload() 事件的时候，并没有改变地址栏的内容，而是继续显示之前的内容。

随后BetaNews又在Windows XP和Vista上的Firefox 2.0.0.2测试了该漏洞，情况有些不同。当运行同样的JavaScript 代码时Firefox不会显示测试页面而是显示空白页，同时地址栏显示的是用户新进入的URL，不管是在地址栏手动输入或是点击连接工具栏和书签中的链接。

我们可以想象，这一漏洞被利用后显然不单单会将用户锁定在某个页面，页面中的嵌入代码可能会让用户跳转到几个假冒网站，而用户还以为正在访问正确的网站。当然要诱骗用户直接在地址栏中地址而不是点击链接并不容易，因此Secunia等安全公司将该bug的漏洞级别标定为“非重要”。