本次修复同步登录 return_url 未限制目标站点导致开放跳转和 token 泄露的风险。

主要改动：

1. 同步登录回跳限制为本站同源 URL

• 文件：route/user.php
• user-synlogin 在保存外部传入 return_url 到 session 前先解码并校验。
• 允许相对站内 URL；绝对 URL 必须与当前站点 scheme、host、port 和站点路径前缀一致。
• 拒绝空值、控制字符、协议相对 URL、非 HTTP(S) scheme 和跨域 URL，避免登录 token 被拼接到外部站点。

1. token 参数拼接兼容已有查询串和 fragment

• 文件：route/user.php
• 登录后通过 user_synlogin_add_token() 追加 token 参数，已有查询串使用 &，并确保参数写入 #fragment 之前。

欢迎大家加入QQ交流群：785017513