Se qualcuno ti dice che qualcosa non va, allora devono essere in grado di dirti perché è sbagliato. E l'utilizzo di collegamenti relativi non ha alcun impatto sulla SEO con nessuno dei principali motori di ricerca (almeno negli ultimi 10 anni).
Se qualcuno inferisce dalla presenza di URL relativi in HTML che il servizio è vulnerabile agli attacchi di attraversamento di percorsi, allora hanno un lavoro sbagliato.
- nel corso normale degli eventi, questi vengono convertiti in percorsi canonici nel client
- è considerata una buona pratica dal punto di vista dello sviluppo utilizzare i percorsi relativi in modo tale che un'applicazione possa essere distribuita in un vhost multi-tenant e per la gestione del codice
Non sto dicendo che l'applicazione non sia vulnerabile - ma non c'è nulla nella domanda per supportare questa asserzione.
Pur dimostrando in un test in doppio cieco che un'applicazione non è vulnerabile agli attacchi path traversal, dovrebbe essere banale per un amministratore di sistemi competente deliberare deliberatamente uno scenario (file con permessi appropriati in un percorso noto al di fuori del percorso dell'applicazione) da testare.