Hallo Thomas,

welche Sicherheitslücken reiße ich auf, wenn ich einen
Location-Header aus einer Get-Variable oder einer
Post-Variable lade?

Keine Groesseren. Du laeufst halt in Gefahr, dass der Client
die Anfrage nicht mehr versteht. Deshalb (wie immer):
validiere den Parameter vorher.

Kann man Bedenkenlos machen oder könnte man über den
HTTP-Header irgendwas schlimmes anrichten?

Nein, IMHO nicht.

Gruesse,
 CK