<div dir="ltr"><div><div><div><div><div></div>I propose we remove iframe support for OAuth reliers.<br></div><div><br>We currently allow OAuth reliers and the upcoming firstrun flow to iframe FxA. Iframe support was added to allow Marketplace to embed FxA in-content.<br><br>Some fairly byzantine client-side checks are performed to ensure we aren't opening users up to phishing attacks. Those checks are complex, and honestly, pretty gross. <br><br>Ryan Kelly asked a good question - if no OAuth reliers currently ifram FxA, why do we even offer the functionality?<br></div> <br></div>Marketplace was able to integrate FxA without using an iframe. No other OAuth reliers that I know of use the iframe. I'd like to rip out OAuth relier iframe support and reduce the possible attack surface area.<br><br></div>Without iframe support, could simplify the content server, 123done (a test relier), and the fxa-relier-client.<br><br> Note, iframe support would still be available for the first run flow, no changes there.<br><br></div><div>Andy and Stuart, this would primarily affect you. Does anybody else know of an OAuth relier that iframes FxA?<br></div><div><br></div>Shane<br><br>------------------------<br><div><div><div><div><br>[1] - <a href="https://tools.ietf.org/html/rfc7034#section-2.1">https://tools.ietf.org/html/rfc7034#section-2.1</a><br></div></div></div></div></div>