JavaScriptを使わずにWebブラウザの閲覧履歴を盗む | スラド セキュリティ
コメントにもあるけど、ぼくも高木先生の楽天ad4Uの話を思い出した。
しかし部門名にあるとおり「仕様」なんだよね。
現実的な解決策があるとすると……どのブラウザもユーザスタイルシートは使えるだろうから、aタグの擬似クラスに対する指定でurl()を使えるのはユーザスタイルシートのみにする、とか？
ユーザビリティの観点からも、元々url()で指定したファイルが取得できなかったとしても、ちゃんと読めるようにCSSを書くべきであり、ほとんどのサイトがそのような運用をしていると仮定すれば、こういう仕様は一応可能かと思う。
ユーザスタイルシートをその他のスタイルシートと区別して扱わなきゃならないのがめんどくさそうだけど。でも一律で全部禁止にするのはさすがに横暴だと思うし……