Скрипт обычного редиректа уже считается уязвимостью?

suffix, можно, можно еще передавать хэш с секретным алгоритмом чтоб правильными были только ссылки из своего контента, у меня в блогах раньше так было, постороннюю ссылку нельзя было поставить, по ней не будет редиректить. Но потом решил фигней не заниматься и сделал просто ссылки с target="_blank" rel="noopener nofollow" и все стали счастливы.

Часто замечаю, что крупняки свои сервисы коротких ссылок и редиректов держат просто на отдельном домене, во избежании фишинга с помощью их домена

Я куку пользователю пишу и потом сверяю на странице go.php...Это ещё плюс к реферу.

Если что то просто белую страницу отдаю да и всё.Либо же возвращаю обратно,откуда и пришел.В зависимости от обстоятельств.

Ну, мой файл go.php тоже спамили как цепочку редиректов по всяким сайтам. И хоть и был закрыт от индексации, но прилетело предупреждение от Яндекса за поведенческие.

Идеальное решение было - сделать белый список. Но я решил пойти другим путем.

1) Если нет куки или реферрер не сайта, то выходит предупреждение (страница с NOINDEX и NOFOLLOW) что дальше автоматический переход не работает.  Хотя, тут я добрый. Добавил ссылку с 

<a rel='nofollow noopener' onclick=\"this.href='$go'\" href='#'>$go</a>

2) Проверяю и режу, если в домене есть vk.cc ,  ow.ly , goo.gl,  tinyurl.com,  bit.ly,  to.ly, tiny.cc,  webcam,  blogspot... ну и все, что связано с ххх, фармой и всем таким. Список набирал по обратным ссылкам в Яндекс Вебмастере. Сам я сокращалки не использую. А вот в цепочках спамеров они встречаются часто.

Тут тоже показывается обычная страница с noindex и блоком рекламы. :-)

Остаётся некоторые псевдо сео ресурсы пожалеть пример 

https://www.maultalk.com/go.php?

делай редирект куда угодно, на какое нибудь казино или порно и досвидания маулток.