В Firefox 58 будет запрещён прямой переход на URL "data:"
В целях противодействия фишингу разработчики Mozilla приняли решение блокировать открытие в основной странице URL "data:", содержимое которых может быть использовано для отображения в адресной строке информации, вводящей пользователя в заблуждение (например, "data:text/html,auth.site.com/много пробелов...‹sсript›Javasсript-блок‹/sсript›"). Подобной нехитрой подстановки оказывается достаточно для обмана многих неквалифицированных пользователей, которые видя знакомый адрес не замечают подвоха и вводят параметры аутентификации, не обращая внимания на строку "data:text/html" перед именем домена. Блокировка вступит в силу в Firefox 58, релиз которого ожидается 23 января.
В Firefox 58 перестанет работать открытие ссылок "data:", которые включают в себя непосредственно данные страницы, через Javasсript-методы window.open("data:...") и window.location = "data:...", а также клики на ссылки с ‹a href="data:..."› и редиректы через meta refresh и код состояния 302. При этом останутся работоспособны такие способы как явное копирование блока "data:" в адресную строку через буфер обмена и открытие блоков с MIME-типами "plain/text", "data:application/pdf", "data:application/json" и "image/*" (за исключением "data:image/svg+xml").
В Firefox 58 будет запрещён прямой переход на URL "data:"