Как pushState защищает от потенциальной подделки контента?

Как видно из блога GitHub , они реализовали HTML5. Функция JavaScript pushState для просмотра дерева (для современных браузеров), обеспечивающая навигацию AJAX без Hash Bangs .

Код прост:

$('#slider a').click(function() {
  history.pushState({ path: this.path }, '', this.href)
  $.get(this.href, function(data) {
    $('#slider').slideTo(data)
  })
  return false
})

Это довольно элегантно позволяет им:

1. Запросить только новый контент через AJAX вместо полной страницы
2. Анимируйте переход
3. И измените URL-адрес браузера (а не только # , как это делает Twitter - twitter. com / stackexchange → twitter.com / #! / stackexchange )

Мой вопрос: как JavaScript предотвращает использование pushState одним веб-сайтом для имитации другого , что привело к убедительной фишинг-атаке ?

По крайней мере, кажется, что домен нельзя изменить, но как насчет нескольких путей внутри сайта, возможно, от нескольких несвязанных и недоверчивых поставщиков контента? Может ли один путь (IE / joe ) по существу имитировать другой (pushState / jane ) и предоставлять имитационный контент с возможно злонамеренными целями?