independientemente del riesgo de seguridad, no se puede evitar ejecutar un codigo en la barra de direccion. si yo fuera ignorante y tu me dices algo asi, seguro que me lo voy a creer y lo voy copiar y pegar. es lamentable pero no hay nada que se pueda hacer. no se puede hacer nada porque es algo que el navegador pone a disponibilidad del usuario. por otro lado no hay un evento o algo parecido para javascript detectar que se ha introducido un codigo en la barra de direccion.

la mayoria de los riesgo se da por la "ingenieria social" (no se si asi es el termino). es decir, cuando una persona convence o engaña a otro para llevar una accion determinada sin este conocer el riesgo. ¿y que mejor frente a ese dilema? la orientacion y educacion para las personas ignorante.