ServiceStackのAuthPlugin(AuthFeature)でうっかりオープンリダイレクタ脆弱性を作らないようにする方法

gistfile1.txt

AuthPluginは/authがContinueパラメータを受け取り、認証後はContinueパラメータで指定されたURLにリダイレクトする設計になっています
そして、Continueはホストも含めたフルURLを指定するため、オープンリダイレクタになってしまう危険性があります

対処法としては
AuthServiceクラスはstaticプロパティとしてValidateFnを持っており、これにdelegateをセットすると認証前にValidateFnにセットしたdelegateが呼び出されるようになります
なので、ValidateFnに入れるdelegateでContinueをチェックするようにし、ホワイトリストに無いhostを指定されたらリダイレクトせずに400/404を投げれば良い