<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:tahoma,new york,times,serif;font-size:10pt;color:#000000;"><div>In the Registration spec, we have a js_origin_uri field which requires more explanation.<br>
Currently, it's defined as :<br>
    OPTIONAL. Space-separated list of
            JavaScript Origin URIs (used for Post Message flow).
<br>
<br>
This description is not very informative as is, so the working group decided to do some research.<br>
<br>
In the case of OpenID Connect, JavaScript clients may be used to implement parts of the specs.<br>
JavaScript has a same origin policy that only permits pages to interact with each other if they originate from the same origin.<br>
Origin
 is defined by the scheme, host, and port of a URL. Pages have the same 
origin if and only if the scheme, host, and port matches exactly.<br>
<br>
<span>Some general background about same origin policy can be found at <a rel="nofollow" target="_blank" href="http://www.w3.org/Security/wiki/Same_Origin_Policy">http://www.w3.org/Security/wiki/Same_Origin_Policy</a></span><br>
<br>
HTML5 defines the exact mechanism for determining the effective origin of a piece of Javascript by using it's "owner".<br>
<span><a rel="nofollow" target="_blank" href="http://www.w3.org/TR/html5/origin-0.html#effective-script-origin">http://www.w3.org/TR/html5/origin-0.html#effective-script-origin</a></span><br>
<br>
<br>
Given
 this restriction, there are techniques used by providers to allow cross
 domain communication. Otherwise, only scripts in the same origin as the
 providers would be able to work.<br>
<br>
This page describes window.postMessage<br><span>

<a target="_blank" href="https://developer.mozilla.org/en/DOM/window.postMessage">https://developer.mozilla.org/en/DOM/window.postMessage</a></span><br>

<br>

Project homepage:<br><span>

<a target="_blank" href="http://code.google.com/p/oauth2-postmessage-profile/">http://code.google.com/p/oauth2-postmessage-profile/</a></span><br>

<br>

Discussion:<br><span>

<a target="_blank" href="https://groups.google.com/group/oauth2-postmessage-profile">https://groups.google.com/group/oauth2-postmessage-profile</a></span><br>

<br>

Authorized JavaScript Origins<br><span>
   
For example: <a target="_blank" href="https://example.com">https://example.com</a></span><br>

<br>

<br>
So for the Registration 
spec, it would just be a list of allowable URIs where client Javascript 
resides that would interact with the Authorization servers. <br>
<br>Would it be correct to define the js_origin_uri as follows :<br>
<br>
   
 OPTIONAL. A Space-separated list of allowable URIs where client Javascript used for interacting with
 Authorization Servers reside or embedded.<br>
<br>
Another question is, should we eliminate the js_origin_uri, since it's not mentioned anywhere else?<br>
Or do we need to elaborate more on how it's used in the other specs?</div>



</div></body></html>