<div dir="ltr"><div>Hi everyone,<br><br></div>I noticed when reading through the OIDC core spec, <a href="http://openid.net/specs/openid-connect-standard-1_0-21.html#userinfo">Section 4</a> has a blurb recommending CORS header support:  <br><br clear="all"><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">The UserInfo Endpoint SHOULD support the use of Cross Origin Resource Sharing (CORS) [CORS] and or other methods as appropriate to enable Java Script Clients to access the endpoint.<a name="UserInfoRequest"></a></blockquote><div><div><div><div class="gmail_signature"><br></div><div class="gmail_signature">But when I look through the <a href="https://openid.net/specs/openid-connect-discovery-1_0.html">Discovery document</a>, there are no mentions of CORS support.  If an OP advertises the implicit flow in the metadata, shouldn't CORS support be a requirement in the specification?  Otherwise a js client will choke on an AJAX discovery request, and the whole process is busted unless the developer manually specifies the endpoints.<br><br></div><div class="gmail_signature">I ran into this when testing the Implicit flow against Google's discovery endpoint, and started down the rabbit hole of reading.  ;-)<br><br></div><div class="gmail_signature">Thank you!<br><br></div><div class="gmail_signature">--Cal<br><br></div><div class="gmail_signature">---------------------------------------------------------------<br>Cal Heldenbrand<br>   Web Operations at FBS<br>   Creators of <a href="http://flexmls.com" target="_blank">flexmls</a>® and <a href="http://sparkplatform.com" target="_blank">Spark Platform</a><br>   <a href="mailto:cal@fbsdata.com" target="_blank">cal@fbsdata.com</a></div></div>
</div></div></div>