Je suis sous macOS 26.1. J’ai reproduit le bug dans Chrome 142.0, mais pas dans Safari 26.1.
Dans les outils de développement Chrome, voici ce que je vois, avec quelques éléments sensibles (paramètres code et state) remplacés par REDACTED ci-dessous :
- POST vers https://id.discourse.com/auth/facebook
- GET vers https://www.facebook.com/v5.0/dialog/oauth?client_id=1002152602034172&redirect_uri=https%3A%2F%2Fid.discourse.com%2Fauth%2Ffacebook%2Fcallback&response_type=code&scope=email&state=REDACTED
- GET vers https://www.facebook.com/dialog/consent/complete/?app_id=1002152602034172&close_uri=https%3A%2F%2Fid.discourse.com%2Fauth%2Ffacebook%2Fcallback%3Fcode%3DREDACTED%26state%3DREDACTED%23_%3D_&display=page&is_success_response=1&cache_buster=9053456441950167740&ext=1762813150&hash=AeRPfKHNpn86aMAA2Rk
- Redirection 302 vers <https://id.discourse.com/auth/facebook/callback?code=REDACTED&state=REDACTED#_= >
- GET vers <https://id.discourse.com/auth/facebook/callback?code=REDACTED&state=REDACTED#_= >
- Redirection 302 vers https://id.discourse.com/oauth/authorize?client_id=w6frjy8zGCTX8HN5UoI20Jj0mMq3Z2cwPu-OJVExLbQ&redirect_uri=https%3A%2F%2Fmeta.discourse.org%2Fauth%2Fdiscourse_id%2Fcallback&response_type=code&scope=read&state=REDACTED
- ^^ notez que c’est là que “meta” apparaît, depuis les en-têtes de réponse de id.discourse.com
- GET vers https://id.discourse.com/oauth/authorize?client_id=w6frjy8zGCTX8HN5UoI20Jj0mMq3Z2cwPu-OJVExLbQ&redirect_uri=https%3A%2F%2Fmeta.discourse.org%2Fauth%2Fdiscourse_id%2Fcallback&response_type=code&scope=read&state=REDACTED
- Redirection 302 vers https://meta.discourse.org/auth/discourse_id/callback?code=REDACTED&state=REDACTED
- GET vers https://meta.discourse.org/auth/discourse_id/callback?code=REDACTED&state=REDACTED
- Redirection 302 vers
/auth/failure?message=csrf_detected&strategy=discourse_id
- Redirection 302 vers
Et ensuite, j’arrive sur https://meta.discourse.org/auth/failure?message=csrf_detected&strategy=discourse_id 200 OK 