En esta publicación: enlace
Ingrese su (s) URL (s) de devolución de llamada completa en este campo. Esto significa que deberías estar proporcionando todo el camino, como enlace . No utilice comodines, y no usa solo el dominio.
La publicación dice que los comodines no son seguros.
Más adelante, la publicación ofrece un ejemplo que solo muestra una vulnerabilidad de una URL de devolución de llamada arbitraria .
Me pregunto por qué una devolución de llamada como https://*.mysite.com/oauth/callback
sería insegura. Parece que ninguno de los proveedores de OAuth lo admite (por ejemplo, Google y Facebook).
Gracias.