¿Cómo debo construir un redirect_uri seguro?

0

He leído varias preguntas sobre la necesidad subyacente de un redirect_uri . ¡No quiero arruinar esto! ¿Alguien puede dar un ejemplo de cómo se podría construir un redirect_uri seguro? Por ejemplo,

mysite.co/securepage.php.....

Aparte de una página que no está clara, hay algo que debe estar en la página para validar una solicitud del cliente.

Muchas gracias.

ACTUALIZACIÓN: todo esto tiene la intención de incorporar un servicio (Uber) en mi aplicación. Esta es su página de autenticación:

    
pregunta David DelMonte 27.02.2016 - 17:45
fuente

1 respuesta

1

ACTUALIZACIÓN : después de las aclaraciones agregadas a la pregunta que sigue a los comentarios, la parte de "redirección" es en realidad parte de oAuth en la API del proveedor y no está relacionada con la sección OWASP a la que señalé inicialmente. Lo dejo sin embargo para el registro.

Sin embargo, hay elementos de seguridad que se deben tener en cuenta al escribir esta página de redireccionamiento (como sucede con otras páginas expuestas).

Cuando permites que una página redirija, básicamente arriesgas tu reputación. Alguien que vea http://myserver.mycompany.com/whatevercomeshere espera que whatevercomeshere sea de confianza.

La forma de hacerlo se introduce en OWASP Redirecciones no validadas y hoja de trucos hacia adelante .

  

Simplemente evite usar redirecciones y reenvíos.

     

Si se usa, no permita la URL como entrada del usuario para el destino. Esta   por lo general se puede hacer. En este caso, deberías tener un método para   validar la URL.

     

Si no se puede evitar la entrada del usuario, asegúrese de que el valor proporcionado sea   válido, apropiado para la aplicación, y está autorizado para el   usuario.

     

Se recomienda que cualquier entrada de destino se asigne a un   valor, en lugar de la URL real o parte de la URL, y que   el código del lado del servidor traduce este valor a la URL de destino.

     

Desinfecte la entrada creando una lista de URL confiables (listas de hosts o   una expresión regular). Forzar todos los redireccionamientos a pasar primero a través de una página de notificación.   usuarios que están saliendo de su sitio, y haga que hagan clic en un enlace   para confirmar.

    
respondido por el WoJ 27.02.2016 - 18:28
fuente

Lea otras preguntas en las etiquetas