Pikachu——url重定向

url重定向是一种将网站访问者从一个 URL 转移到另一个 URL 的 Web 服务器技术。当用户访问其浏览器中的某个 URL 时，服务器会发回一条消息，告诉浏览器改为访问其他 URL。第二个 URL 可以在同一个域上，也可以在不同的域上。（旧的url不再使用或者暂时不再使用，而服务端提前配置好，知道该怎么映射）

有两种常见的 URL 重定向类型：

301(Moved Permanently) — 告诉浏览器(和搜索引擎)重定向是永久性的，并且他们将来应该使用更新的 URL。

302(Moved Temporarily) — 表示重定向是临时的；浏览器和搜索引擎应继续请求原始 URL。

查看源码，直接拼接到用户传入参数（这里对用户输入的url重定向其实感觉和生活中使用相悖）

传入url=https://www.baidu.com，发现跳转页面到百度

那么更危险的点在于，可以实现“钓鱼攻击”、“SCSRF”、“XSS”等

给诱导目标用户发送http://安全域名?url=不安全的网址，用户可能会只看到安全的域名是安全的、可靠的，但是忽略了后面传入的参数是恶意的网址（这个时候可能配合CSRF使用，只要点击，就会执行恶意操作）。

修复：避免使用用户提供的重定向url（不再拼接用户输入的url）、白名单验证、域名验证、添加确认页面等。