<p dir="ltr">Hi,</p>
<p dir="ltr">Isn't there a risk of an attacker logging a user out of a third-party (victim) site just by loading that logout_url? At a minimum the RP should check the request's origin or referrer but AFAIK this wouldn't be reliable with such cross-origin requests (at least for older browsers not sending an Origin header), but maybe the OP could compute some value based on a shared secret, or use a signed JWT, and pass it as a query string parameter to "authenticate" the request?<br></p>
<p dir="ltr">Le sam. 14 févr. 2015 07:12, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com">Michael.Jones@microsoft.com</a>> a écrit :</p>