2 つの Web サイトがあり、どちらも私が所有しているとします。website-y.comでは、ユーザーはリンクをクリックできます。
<a href=https://website-x.com/get_secret_token>Get your secret</a>
これにより、ユーザーはwebsite-x.comに移動し、そこでサーバーがシークレット トークンを生成し、ユーザーをwebsite-y.comにリダイレクトします。
302 REDIRECT https://website-y.com?secret_token=foo
これで、 website-y.comのサーバーがパラメーターを読み取って処理できるようになりましたsecret_token。
しかし、シークレット トークンがwebsite-y.comのサーバーのシークレットでもある場合はどうなるでしょうか。
トークンはブラウザーでのみ使用できるようにする必要があるため、Javascript 関数がトークンを取得して処理を実行できます。
ブラウザーでしか読み取れないソリューションとしてWeb Storageを調べましたが、明らかに異なるオリジン間でデータを共有することはできません (したがって、 website-x.comはwebsite-y.comのコンテンツを保存できません)。
website-y.comのサーバーを介してシークレットを送信せずに、website-x.comからwebsite-y.comにシークレットを転送する別の方法はありますか?