考虑下面的代码;
<?php
if (!$loggedin) {
header('location: login.php');
}
echo 'You can only see this secret stuff if you are logged in!';
回声的文本仍然被返回 - 所以不要盲目地遵守location标题会让你阅读"秘密信息".
另外,我认为这篇文章属于https://security.stackexchange.com/