Simple URL spoof in address bar

Saya menemukan sebuah bug yang sangat sederhana dan mudah direproduksi. Cukup dengan membuka situs milik attacker, lalu dari situ membuka google.com, kemudian coba klik tombol "Back" (navigasi kembali). Jika setelah klik back, URL di address bar tetap menunjukkan google.com, namun konten yang ditampilkan berasal dari situs attacker, maka ini bisa dikategorikan sebagai kerentanan spoofing yang valid.
Contoh skenario eksploitasi:
Korban mengunjungi situs attacker.
Situs attacker membuka
https://www.google.comdi tab yang sama (misalnya vialocation.href).Korban menekan tombol "Back".
Halaman menampilkan konten dari attacker, tetapi address bar masih menampilkan
google.com.



![[Bug Bounty] Race Condition: Redeeming Single-Use Coupon Multiple Times](/_next/image?url=https%3A%2F%2Fcdn.hashnode.com%2Fres%2Fhashnode%2Fimage%2Fupload%2Fv1770116456998%2F629ff44d-4a0a-4445-91bf-c37d3e84c104.jpeg&w=3840&q=75)
