在移动版Chrome浏览器中，当用户向下滚动时，浏览器会自动隐藏URL栏，将URL栏占用的屏幕空间还给网页。而对于大多数用户来说，URL栏的这个位置可以说是浏览器中最可信的部位，如果用户想要判断你正访问网站的网址是什么，大多数人第一时间看看URL栏。因此，浏览器的URL栏也成了钓鱼攻击的重点部位，研究人员发现了一种伪造“URL栏”的方法——利用inception bar。

一般，当用户在Chrome浏览器中下滑时，Chrome会重新显示真实的URL栏，而非一直隐藏。但是可以通过一种方式来欺骗Chrome，让浏览器永远不会显示真实的URL栏！一旦Chrome隐藏了URL栏，就可以整个页面内容移动到“scroll jail”中——这里研究人员利用了overflow:scroll。当用户用手指上下滑动时，会误以为认为他们是在当前页面中向上滚动，但事实上用户只是研究人员设置的“scroll jail”中滑动！就像是做梦中一样，用户以为他们在浏览器中，但实际上是在浏览器中的一个区块中。

这是一个严重的安全漏洞吗？是的。因为作为一个安全人员都很难第一时间识破这个钓鱼网站，所以可以想象如果是完全不懂网络知识的用户，在面对这种网站时的戒心有多低！

如何防御这种攻击呢？我们认为这是Chrome的问题。因为正是Chrome隐藏URL栏的逻辑让黑客有了可乘之机，当然我们也完全理解谷歌想节约页面空间的做法。目前为止，我们觉得最好解决方法就是在Chrome隐藏URL栏时，做出提示，让用户意识到“URL栏当前已隐藏”。