<p dir="ltr">+1</p>
<div class="gmail_quote">On Nov 3, 2013 12:24 PM, "Nat Sakimura" <<a href="mailto:issues-reply@bitbucket.org">issues-reply@bitbucket.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
New issue 894: New Core - 2.2.2.7 Redirect URI Fragment Handling<br>
<a href="https://bitbucket.org/openid/connect/issue/894/new-core-2227-redirect-uri-fragment" target="_blank">https://bitbucket.org/openid/connect/issue/894/new-core-2227-redirect-uri-fragment</a><br>
<br>
Nat Sakimura:<br>
<br>
It says:<br>
<br>
When response parameters are returned in the Redirection URI fragment value, the Client MUST provide a way for the User-Agent to parse the fragment encoded response and consume the values. One way to do this is to post it to the Web Server Client for validation.<br>

<br>
The entire section is new and is bogus. The Client does not have to post it to the Web Server Client for validation at all. We could provide a developer guidance as an example, but at this point, it is best to delete the unvetted content.<br>

<br>
(This was reported on 31 Oct. in my review but recording it here as well since it is a technical comment.)<br>
<br>
<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div>