<div dir="ltr"><div>Hello everyone,</div><div><br></div><div>from <a href="https://openid.net/specs/openid-connect-session-1_0.html#OPiframe">OpenID Connect Session Management 1.0 - draft 28 [4.2. OP iframe]</a> </div><div><br></div><div>> The OP iframe MUST enforce that the caller has the same origin as its parent frame. It MUST reject postMessage requests from any other source origin.</div><div><br></div><div>I understand the intetion here but would like to raise a few questions/issues.</div><div><br></div><div>1) cross-domain parent origin is not accessible, accessing `window.parent.location.origin` raises a DOMException and other means of reading the url are unreliable and inconsistent at best (accessing `document.referrer` and building the origin url out of it).</div><div>2) the parent frame (tab) is not actually the origin of the message, this would be the RP frame which might very well sit on a different subdomain, resulting in another origin.</div><div><br></div><div>I can see the example in the specification is not handling this either. Do you have any suggestions, is there something that i am missing? Is this something to be tracked in bitbucket and remove from the draft?</div><br clear="all"><div><div class="gmail-m_5297303404923888317gmail_signature">Best,<br><b>Filip Skokan</b></div></div>
</div>