Questo dipenderà dal sito, tuttavia nella maggior parte dei casi, sì, dovrebbe essere sicuro interagire con un sito che non è stato completamente caricato. Molti siti sono progettati con caricamento prioritario in cui vengono caricati prima gli elementi della pagina più importanti e gli elementi supplementari vengono caricati in background. Il motivo per cui il sito è stato progettato in questo modo consente di iniziare a interagire con il contenuto principale senza dover attendere il caricamento dei dati meno importanti. I creatori di browser dedicano molto del loro tempo a pensare a come caricare in modo sicuro una pagina in modo incrementale mentre tutte le risorse si caricano in parallelo e le funzionalità sono in HTML moderno per consentire agli sviluppatori Web di controllare questo caricamento.
È possibile che una pagina mal progettata si rompa se interagisci prima che sia pronta, tuttavia nella mia esperienza questo è molto, molto raro nella pratica. La maggior parte dei siti nasconde tutti gli elementi che possono essere interrotti finché non è pronta o mostra una pagina interstitial di caricamento se lo sviluppatore lo ritiene necessario, ma le occasioni in cui sono necessari sono molto rari in quanto molte cose in HTML e CSS sono sicure per interagire prima del caricamento della pagina finiture.
In particolare, fare clic sui collegamenti e sui pulsanti indietro è quasi sempre sicuro. Lo sviluppatore deve rovinare qualcosa davvero, molto male se queste azioni di base interrompono il loro sito. I moduli di riempimento sono in genere sicuri per tutti i moduli HTML semplici che non utilizzano JavaScript e anche per la maggior parte delle aziende che utilizzano JavaScript. È possibile però che le forme scritte male possano rovinarsi, ma questo è piuttosto raro.
I believe that this can often cause history corruption,
Se visualizzi il danneggiamento della cronologia, questo non è sicuramente causato dall'interazione della pagina durante il caricamento.
however could there be any cases where interacting with the page causes information to be POSTed to the wrong destination, or a hyperlink destination to be incorrect resulting in you accidentally visiting a phishing site, etc?
È possibile, ma questo è raro. L'unico scenario remotamente realistico (uno che non coinvolge deliberatamente lo sviluppatore nel tentativo di rendere vulnerabile il sito) mi viene in mente una destinazione POST errata se un modulo HTML non specifica l'attributo action ma utilizza JavaScript o in seguito modifica il valore dell'azione per JavaScript. Per impostazione predefinita, ciò significa che il modulo verrà pubblicato nello stesso server su cui stai visualizzando la pagina. Questo potrebbe causare un errore ma normalmente non è un problema di sicurezza. Ad eccezione della pagina della carta di credito, poiché la pagina della carta di credito viene spesso inviata direttamente al processore di pagamento di terze parti, pertanto il server non dovrà soddisfare tutti i requisiti di PCI-DSS.
Non riesco a pensare a uno scenario realistico in cui potresti postare accidentalmente su un sito di phishing a causa del caricamento incompleto della pagina. Anche se non è impossibile, lo sviluppatore dovrebbe fare di tutto per rendere questa possibilità.