<html><head><meta http-equiv="content-type" content="text/html; charset=us-ascii"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><br id="lineBreakAtBeginningOfMessage"><div><br><blockquote type="cite"><div>On 23 May 2024, at 08:16, Joshua Fraustro via p3t <p3t@ivoa.net> wrote:</div><br class="Apple-interchange-newline"><div><span style="caret-color: rgb(0, 0, 0); font-family: Monaco; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;">I will note generally to this discussion, that the goal of the tiger team was not simply to provide an OpenAPI spec for IVOA services, but also take the opportunity to examine the way we invoke these services, their behaviors, and whether those are consistent with modern HTTP service development practices. The lines we're discussing in my slides, are examples of this kind of examination.</span><br style="caret-color: rgb(0, 0, 0); font-family: Monaco; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"></div></blockquote></div><br><div>I get that, and I was mainly pointing out that security is not a direct driver for removing x-www-form-urlencoded. However, removing x-www-form-urlencoded is basically like saying that we are moving from a regime that the client side of the protocols has to be implemented in Javascript rather than HTML in browsers. I am generally in favour of limiting options and perhaps that is what we do want to do, but it is quite a big step.</div></body></html>