I reindirizzamenti non convalidati non si applicano necessariamente qui. Un reindirizzamento non convalidato è qualcosa di più sulla falsariga di un attaccante che è in grado di inviare una vittima a una destinazione scelta dall'attaccante. Se leggi l'esempio sulla pagina OWASP che hai linkato in basso, vedrai che l'autore dell'attacco crea un URL che può essere inviato a una vittima usando l'ingegneria sociale o altro. Un reindirizzamento statico proveniente da un server è uno scenario completamente diverso.
Anche se rickrolling di un utente malintenzionato può sembrare divertente, gli utenti legittimi si sentirebbero piuttosto confusi se ricevessero un link al tuo sito che automaticamente li rickrolls, riducendo la fiducia dell'utente.