OAuth basato su JavaScript espone l'ID client dell'applicazione e si fida solo del dominio che richiede il token di accesso. Il nome di dominio può essere falsificato con un dirottamento DNS (o un virus che influenza /etc/hosts
). Allora perché OAuth basato su JavaScript è supportato da Google, Facebook per i clienti che non utilizzano HTTPS? O mi sto perdendo qualcosa?