Si alguien te dice que algo está mal, entonces deben poder decirte por qué está mal. Y el uso de enlaces relativos no tiene ningún impacto en SEO con ninguno de los principales motores de búsqueda (al menos durante los últimos 10 años).
Si alguien infiere de la presencia de URLs relativas en HTML que el servicio es vulnerable a ataques de recorrido de ruta, están en el trabajo incorrecto.
- en el curso normal de los eventos, estos se convierten a rutas canónicas en el cliente
- desde el punto de vista del desarrollo, se considera una buena práctica utilizar rutas relativas de modo que una aplicación pueda implementarse en un host de varios inquilinos y para la administración de códigos.
No estoy diciendo que la aplicación no sea vulnerable, pero no hay nada en la pregunta que respalde esta afirmación.
Mientras se demuestra en una prueba doble ciego que una aplicación no es vulnerable a los ataques de ruta, no debería ser trivial para un administrador de sistemas competente el diseño deliberado de un escenario por etapas (archivos con los permisos adecuados en una ruta conocida fuera de la ruta de la aplicación) para probar.