url重定向是一种将网站访问者从一个 URL 转移到另一个 URL 的 Web 服务器技术。当用户访问其浏览器中的某个 URL 时服务器会发回一条消息告诉浏览器改为访问其他 URL。第二个 URL 可以在同一个域上也可以在不同的域上。旧的url不再使用或者暂时不再使用而服务端提前配置好知道该怎么映射有两种常见的 URL 重定向类型301(Moved Permanently) — 告诉浏览器(和搜索引擎)重定向是永久性的并且他们将来应该使用更新的 URL。302(Moved Temporarily) — 表示重定向是临时的浏览器和搜索引擎应继续请求原始 URL。查看源码直接拼接到用户传入参数这里对用户输入的url重定向其实感觉和生活中使用相悖传入urlhttps://www.baidu.com发现跳转页面到百度那么更危险的点在于可以实现“钓鱼攻击”、“SCSRF”、“XSS”等给诱导目标用户发送http://安全域名?url不安全的网址用户可能会只看到安全的域名是安全的、可靠的但是忽略了后面传入的参数是恶意的网址这个时候可能配合CSRF使用只要点击就会执行恶意操作。修复避免使用用户提供的重定向url不再拼接用户输入的url、白名单验证、域名验证、添加确认页面等。
