Html 为什么要打开重定向URL？

我一直在浏览OWASP前10名，以更深入地了解每种特定类型的漏洞。我已经找到了最后一项，未验证的URL重定向。我理解这次袭击；现在我已经在OWASP中读到了这一点，这样一个网络钓鱼方案似乎是非常明显的。我很难理解的是，为什么这种重定向方式一开始就出现了

将重定向URL作为参数包含在URL中肯定有一些优点

ie

example.com/go.php？url=newpage.php

---

而不是使用许多其他可能的重定向方案。即使url参数是动态生成的，它是否仍然可以通过POST发送以防止创建恶意url？为什么谷歌允许任何人发送“我很幸运”的重定向URL到堆栈溢出？

这个问题现在有点老了，但无论如何我都会尝试为你回答，以防你仍然好奇，或者完全忘记它。：）

下面是我能想到的添加重定向参数的两个最常见的用例：

当用户离开网站时，作为监视或警告用户的一种方式。在那些想要跟踪趋势和用户流量的网站上，比如推特（Twitter）和谷歌（Google）的URL缩短器，或者谷歌（Google）的搜索跟踪功能，这可以用来找出用户下一步要去哪里。网站也可能会仔细检查URL并首先检查它是否安全，或者只是向用户提供一个“离开页面”，警告他们正在离开域名

记住用户在被转移之前的意图。例如，用户可能试图直接转到其帐户页，但需要将其重定向到登录页才能首先登录。一旦成功，用户将被引导回他们最初试图访问的页面，而不是默认页面，这有助于保持连续性

---

在第二种情况下，预期的URL确实可以作为隐藏参数或cookie传递。然而，这两种技术仍然容易被滥用，就像OWASP识别。。。除非URL可能存储为服务器端的会话变量。

重定向是可以理解的，但是为什么不使用推送请求来防止生成与受信任域的恶意链接？啊，这就是URL缩短器在传回压缩URL之前应该做的事，是吗？或者，如果他们不这样做，他们应该在实际重定向用户之前实时验证URL。我真的不相信验证URL是URL缩短者的责任（如果可能的话）。首先，这些URL自然应该是不可信的。但是，如果你能在它前面创建一个与谷歌域名的链接来访问任何网站，对我来说，这对谷歌来说是不安全的。我同意。这就是为什么URL缩短器应该位于自己的域中，而不用于其他目的，以防止站点代表受到污染。