К примеру у вас на сайте есть авто авторизация при переходе из письма. Типа
http://domain.com/?email=vasya@pupkin.com&secrettoken=vfwervwervwervwervwerv244234
При переходе пользователь перейдет на страницу и если его там оставить то он может кликнуть на внешнюю ссылку на сайте и перейти на другой сайт, а в реферере этого запроса будет
http://domain.com/?email=vasya@pupkin.com&secrettoken=vfwervwervwervwervwerv244234
Чтобы исключить уязвимость надо средиректить с
http://domain.com/?email=vasya@pupkin.com&secrettoken=vfwervwervwervwervwerv244234
после авторизации
Ну еще https избавляет от этой проблемы
