是的，它是 OWASP 前 10 名违规：OWASP A10 - Unvalidated Redirect。这些对于网络钓鱼和垃圾邮件很有价值。最近发现垃圾邮件发送者利用美国 .gov 网站上的 Open Redirect 漏洞牟利。

如果网站不是公共重定向器，则没有理由在网站上使用重定向。您不能将任何用户制作的数据传递到响应标头中，显然允许更改Status或301设置302是Location完全致命的。

为避免此类问题，不应该发生在Location用户提交的字段上，而是应该从服务器生成字段，并且应该在 sessionid 中标识用户，并且应该将用户会话存储在服务器上。就是这样。

确实

黑客可以利用用户对开放重定向网站的信任。它们可能导致用户访问他们通常不会访问的站点，这些站点可能是恶意的，并在用户计算机上安装恶意软件。

应该像对待任何其他安全漏洞一样对待开放重定向。

不，像 URL 缩短服务这样的重定向有完全有效的用途。

但是，在大多数情况下，不应仅“因为它们可以”而使用它们，因此应该首选更好的替代方案。

它应该被认为是不可取的，并且仅在这是唯一可用的方法时使用。