Комментарии 4
Казалось бы, если все браузеры поддерживают кроссдоменное общение между фреймами, так почему бы сразу в приложении не открыть окно для авторизации в iframe? Но тут подножку ставит заботливый CORS – практически на всех OAuth серверах запрещено открытие страницы авторизации в фрейме.
Не CORS, а X-Frame-Options.
Это сделано для защиты от кликджекинга (ClickJacking).
0
Не очень понятно, что такой за случай отказа автоматики, когда токен выводится на экран? Что именно может отказать и что пользователю дальше делать с этим токеном?
0
И еще один вопрос: что будет, если у пользователя блокируются всплывающие окна?
0
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Кроссдоменный postMessage или как браузеры поддерживают стандарты