Visitando parecchi malwaretiser (penso che questo sia il termine :)), ricevo popup con la barra degli indirizzi qualcosa come data:text/html;base64,PGh0bWw+PGJvZHk+PHNjcmlwdD52YXIgZT0obmV3IERhdGUpLmdldFRpbWUoKTt2YXIgZWZ3PXdpbmRvdy5uYW1lLnNwbGl0KCdfJylbM107aWYoZS1lZnc8MjUwKXt3aW5kb3cubG9jYXRpb249Jyc7fTwvc2NyaXB0PjwvYm9keT48L2h0bWw+
La parte codificata di questo si traduce in:
<html><body><script>var e=(new Date).getTime();var efw=window.name.split('_')[3];if(e-efw<250){window.location='';}</script></body></html>
Quello che non so è il motivo per cui i browser supportano tale inlining di pagine / script e dove l'effettivo URL dannoso entra nell'immagine. Forse è già stato messo in coda e quando si apre non ha niente a che fare con questo frammento?