UPDATE : dopo i chiarimenti aggiunti alla domanda dopo i commenti, la parte "reindirizza" è in realtà parte di oAuth nell'API del provider e non correlata alla sezione OWASP che ho inizialmente indicato. Lo lascio comunque per la cronaca.
Però ci sono certamente degli elementi di sicurezza che tengono conto della scrittura di questa pagina di reindirizzamento (come con le altre pagine esposte).
Quando consenti a un reindirizzamento di una pagina, in pratica metti la tua reputazione in gioco. Qualcuno vedendo http://myserver.mycompany.com/whatevercomeshere
si aspetta che whatevercomeshere
sia attendibile.
Come fare ciò viene introdotto nel OWASP Reindirizzamento non pronto per l'uso di Cheat Sheet .
Simply avoid using redirects and forwards.
If used, do not allow the url as user input for the destination. This
can usually be done. In this case, you should have a method to
validate URL.
If user input can’t be avoided, ensure that the supplied value is
valid, appropriate for the application, and is authorized for the
user.
It is recommended that any such destination input be mapped to a
value, rather than the actual URL or portion of the URL, and that
server side code translate this value to the target URL.
Sanitize input by creating a list of trusted URL's (lists of hosts or
a regex). Force all redirects to first go through a page notifying
users that they are going off of your site, and have them click a link
to confirm.