Come dovrei costruire un redirect_uri sicuro?

0

Ho letto una serie di domande sulla necessità di base di un redirect_uri . Non voglio rovinare tutto questo! Qualcuno può dare un esempio di come un% sicuro diredirect_uri potrebbe essere costruito? Ad esempio,

mysite.co/securepage.php.....

Oltre a una pagina sconosciuta, c'è qualcosa che deve essere presente nella pagina per convalidare una richiesta client.

Grazie mille.

AGGIORNAMENTO: questo è tutto per incorporare un servizio (Uber) nella mia app. Questa è la loro pagina di autenticazione:

    
posta David DelMonte 27.02.2016 - 17:45
fonte

1 risposta

1

UPDATE : dopo i chiarimenti aggiunti alla domanda dopo i commenti, la parte "reindirizza" è in realtà parte di oAuth nell'API del provider e non correlata alla sezione OWASP che ho inizialmente indicato. Lo lascio comunque per la cronaca.

Però ci sono certamente degli elementi di sicurezza che tengono conto della scrittura di questa pagina di reindirizzamento (come con le altre pagine esposte).

Quando consenti a un reindirizzamento di una pagina, in pratica metti la tua reputazione in gioco. Qualcuno vedendo http://myserver.mycompany.com/whatevercomeshere si aspetta che whatevercomeshere sia attendibile.

Come fare ciò viene introdotto nel OWASP Reindirizzamento non pronto per l'uso di Cheat Sheet .

Simply avoid using redirects and forwards.

If used, do not allow the url as user input for the destination. This can usually be done. In this case, you should have a method to validate URL.

If user input can’t be avoided, ensure that the supplied value is valid, appropriate for the application, and is authorized for the user.

It is recommended that any such destination input be mapped to a value, rather than the actual URL or portion of the URL, and that server side code translate this value to the target URL.

Sanitize input by creating a list of trusted URL's (lists of hosts or a regex). Force all redirects to first go through a page notifying users that they are going off of your site, and have them click a link to confirm.

    
risposta data 27.02.2016 - 18:28
fonte

Leggi altre domande sui tag