Использовать PRNG
Вы должны генерировать случайный URL с PRNG , а не с самой простой функцией Random () вашей платформы.( К вашему сведению. Теоретически .NET GUID не предназначен для обеспечения безопасности, на практике в веб-приложении с вами все будет в порядке, но вас предупредили )
Не включайте 3-йсторонние ресурсы на «скрытой» странице
Убедитесь, что посещаемые посетителями страницы не содержат никаких сторонних ресурсов (javascripts, изображений, flash-анимации и т. д.). В значительной степени все они будут пропускать текущийURL через REFERRER и ваш скрытый URL будет открыт для всех этих третьих лиц.Это то же самое, даже если вы используете HTTPS и включенные URL-адреса используют HTTP.
Не включайте ссылки на сторонние веб-сайты, если вам нужно позаботиться о рекомендателях
Опять утечка REFERRER может быть проблемой, если страница, которую вы обслуживаете, содержит ссылки на сторонние URL-адреса.В этом случае вы можете либо перенаправить их с общей страницы (если вы будете осторожны с уязвимостями Open Redirect ), либо использовать трюк JavaScript для удаления REFERRER.