利用URL特性绕过域名白名单检测

以URL跳转举例：URL跳转漏洞主要是利用浏览器对URL特性的支持，绕过一些正则匹配不严谨的防护。
在SSRF漏洞中也经常利用到。

1.“@”

例如：http://www.target.com/redirecturl=http://whitelist.com@evil.com

2.“\”

例如：http://www.target.com/redirecturl=http://evil.com\a.whitelist.com

3.“?”

例如：http://www.target.com/redirecturl=http://evil.com?a.whitelist.com

4.“#”

例如：http://www.target.com/redirecturl=http://evil.com#a.whitelist.com

以上问题不单单会影响URL跳转漏洞的防护，只要涉及到对URL白名单检测的地方都可能存在此问题，比如：微信、QQ等对聊天内容中对URL的检测；检测文章/论坛帖子等中是否插入了外部图片；文件包含/读取；等等