<div dir="ltr">Hi,<div><br></div><div>It is not clear to me what are the safe response_type values (e.g. "code id_token", "id_token token")  that can be used with the form_post response mode.<br></div><div>
<br></div><div>The "oauth-v2-multiple-response-types-1_0" defines the safe response modes for each combination, but only considers query and fragment modes (as it should)</div><div><br></div><div>On the other hand, the "oauth-v2-form-post-response-mode-1_0" is not clear about this issue, except for this sentence</div>
<div><br></div><div>   "In particular, it is safe to return Authorization Response parameters whose default Response</div><div>    Modes are the query encoding or the fragment encoding using the form_post Response Mode"</div>
<div><br></div><div>Does this mean that form_post response mode is safe for *any* response type, since the defaults are always either query or fragment?</div><div><br></div><div><br></div><div>Thanks</div><div>Pedro</div>
</div>