У меня есть приложение Rails, которое я бы хотел, чтобы клиенты встраивали на свои веб-сайты (с помощью iFrame или аналогичного кода), где они могут отправить форму и потенциально просматривать информацию об учетной записи. использовать OAuth, но мне было интересно, как безопасно регистрировать их, учитывая строгие настройки одинакового происхождения и CORS, которые большинство сайтов используют для предотвращения кликджекинга и т. д.
Моя первоначальная мысль заключалась в том, чтобы предоставить iFrame веб-страницу с назначенным токеном в URL-адресе, чтобы указать, что он поступает с действительного сайта, но хакеры могут легко скопировать его. Я почти уверен, что OAuth пытается предотвратить это, но, как уже упоминалось, у меня этого пока нет.