<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Recent browsers (exclude my Safari) attach URI fragment to the redirect destination when it receives 30x response.<br><a href="http://stackoverflow.com/questions/2286402/url-fragment-and-302-redirects">http://stackoverflow.com/questions/2286402/url-fragment-and-302-redirects</a><br><br>So isn’t access token in implicit flow reveals to the attacker who can setup destination JS code?</body></html>