ACTUALIZACIÓN : después de las aclaraciones agregadas a la pregunta que sigue a los comentarios, la parte de "redirección" es en realidad parte de oAuth en la API del proveedor y no está relacionada con la sección OWASP a la que señalé inicialmente. Lo dejo sin embargo para el registro.
Sin embargo, hay elementos de seguridad que se deben tener en cuenta al escribir esta página de redireccionamiento (como sucede con otras páginas expuestas).
Cuando permites que una página redirija, básicamente arriesgas tu reputación. Alguien que vea http://myserver.mycompany.com/whatevercomeshere
espera que whatevercomeshere
sea de confianza.
La forma de hacerlo se introduce en OWASP Redirecciones no validadas y hoja de trucos hacia adelante .
Simplemente evite usar redirecciones y reenvíos.
Si se usa, no permita la URL como entrada del usuario para el destino. Esta
por lo general se puede hacer. En este caso, deberías tener un método para
validar la URL.
Si no se puede evitar la entrada del usuario, asegúrese de que el valor proporcionado sea
válido, apropiado para la aplicación, y está autorizado para el
usuario.
Se recomienda que cualquier entrada de destino se asigne a un
valor, en lugar de la URL real o parte de la URL, y que
el código del lado del servidor traduce este valor a la URL de destino.
Desinfecte la entrada creando una lista de URL confiables (listas de hosts o
una expresión regular). Forzar todos los redireccionamientos a pasar primero a través de una página de notificación.
usuarios que están saliendo de su sitio, y haga que hagan clic en un enlace
para confirmar.