というのを知った。

https://www.w3.org/TR/capability-urls/

渋川先生(中高の先輩なんだよね)のスライドだと、他に

• 限定公開URL
• 共有URL
• 公開URL
• Magic Link
• Signed URL
• Signed ID - Rails 用語
• Capability URLs

https://docs.google.com/presentation/d/1gGDu6r31892cRGcGFk2a4BcxOBzsws9E5UtItCKib88/edit#slide=id.g8d5451933c_0_118

という呼び名があるらしい。確かにMagic Linkは聞いた事あるな。

Web Originを分離したい

OIDCか何か既存のプロトコルを使って、Capability URLの発行を外部に委託できないだろうか。つまり↑のGood practiceで言うところの、リンクのexpireとか利用回数制限とかを行うサービスがあっても良いんじゃないかという気がする。

ちょっと検索した限りではそれらしいのは見当たらなかった。まぁ確かにoriginが違ったらみんな警戒するもんなぁ。。

常識的に考えると、Capability URLの着地では広告等XSSリスクのあるものを起かないことが望ましい。このためoriginのレベルで分離されていた方が安心度は高いが、当然cross originでやりとりするリスクとの天秤になる。