前一陣子，發現JavaScript中允許臨時改變<a>標簽的href屬性,當改變其屬性后你點擊它可能看不出有多嚴重，但是，它可以通過欺騙手段來誘騙用戶透露他們的詳細資料。

// Uncompressed

var links = document.getElementsByTagName('a');

for(var i=0; i < links.length; i++){

links[i].onclick = function(){

this.; // 插入鏈接（你們懂的）

};

}

// Compressed (100 characters exc. the link)

o=document.getElementsByTagName('a');for(j=0;j<o.length;j++){o[j].onclick=function(){this.;}}

當你點擊鏈接，javascript代碼被執行并改變了<a>標簽的href屬性。令人驚訝的是，瀏覽器竟然把受害者導航到一個新的鏈接。而受害者通常會簡單的認為,可能只是一個重定向鏈接，這里我們假設網站的訪問者已經習慣了這種重定向現象,這一缺陷便可以進行網絡釣魚。

這種釣魚很難能被檢測到。很多人都使用JavaScript/ jQuery框架組合來綁定<a>標簽，每個<a>標簽的onclick函數不是那么容易就能解除綁定的。一個技術還不錯的黑客可以嵌入惡意的JavaScript或進行代碼注入，因為這樣很容易更新JavaScript(尤其是可嵌入的)。