Я использую OWIN и OpenId для аутентификации пользователей моего веб-приложения с помощью Azure AD B2C, Startup.Auth.cs имеет такой код:
app.UseOpenIdConnectAuthentication(
new OpenIdConnectAuthenticationOptions
{
MetadataAddress = string.Format(AadInstance, Tenant, policy),
AuthenticationType = policy,
ClientId = clientId,
Authority = authority,
PostLogoutRedirectUri = postLogoutRedirectUri,
RedirectUri = postLogoutRedirectUri,
Notifications = new OpenIdConnectAuthenticationNotifica....
При выходе он вызывает перенаправление на postLogoutRedirectUrl, например
URI перенаправления после выхода из системы присутствует в URI перенаправления на портале.
Если я остановлю браузер и изменю URI выхода в адресной строке на https% 3A% 2F% 2Fevil.com% 2F, перенаправление произойдет правильно, даже если этот URL https://evil.com/ не входит в разрешенный uri перенаправления.
Почему AD B2C не останавливает перенаправление? разве это не уязвимо?