未经验证的重定向不一定适用于此。未经验证的重定向更像是攻击者能够将受害者发送到攻击者选择的目的地。如果您阅读底部链接的 OWASP 页面上的示例，您会看到攻击者制作了一个 URL，该 URL 可以使用社会工程或其他方式发送给受害者。来自服务器的静态重定向是完全不同的场景。

虽然 rickrolling 攻击者可能看起来很有趣，但如果合法用户获得指向您网站的链接，该链接会自动 rickroll 攻击他们，从而降低用户的信任度。

您链接的页面中的所有示例都在讨论用户提供要重定向到的全部或部分 URL 的情况 - 除非我遗漏了有关您链接的 Node.js 包的内容，否则该参数是在服务器中提供的配置，因此它不容易受到与攻击者传递的参数相关的攻击。假设没有恶意用户控制您的网站（在这种情况下，他们可以通过多种方式强制用户重定向到他们控制的网站），我不明白这会如何引入漏洞。也就是说，您需要非常小心，只提供用户永远不会合法点击或错误输入的 URL。