Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 4
Казалось бы, если все браузеры поддерживают кроссдоменное общение между фреймами, так почему бы сразу в приложении не открыть окно для авторизации в iframe? Но тут подножку ставит заботливый CORS – практически на всех OAuth серверах запрещено открытие страницы авторизации в фрейме.
Не CORS, а X-Frame-Options.
Это сделано для защиты от кликджекинга (ClickJacking).
Не очень понятно, что такой за случай отказа автоматики, когда токен выводится на экран? Что именно может отказать и что пользователю дальше делать с этим токеном?
И еще один вопрос: что будет, если у пользователя блокируются всплывающие окна?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Кроссдоменный postMessage или как браузеры поддерживают стандарты