<p>It's fully supported for direct access, just not for cross origin loads from other web sites. It works fine when loading an openstreetmap.org URL directly in a browser or from a separate application like JOSM.</p>
<p>Because the authentication is, or can be, applied implicitly without user authorization or a case-by-case basis it simply isn't safe to allow it for cross origin loads because any random web site you visit could have background javascript that did things on osm.org as you without you ever even knowing.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/issues/1609#issuecomment-323528242">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ABWnLYs0z-hiL_AMRCCDND6XnX1eryi9ks5sZviRgaJpZM4Ov1wt">mute the thread</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/ABWnLR9RnkYLH_o6Ne7xnVuIzzXDilp7ks5sZviRgaJpZM4Ov1wt.gif" width="1" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/openstreetmap/openstreetmap-website/issues/1609#issuecomment-323528242"></link>
  <meta itemprop="name" content="View Issue"></meta>
</div>
<meta itemprop="description" content="View this Issue on GitHub"></meta>
</div>

<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/openstreetmap/openstreetmap-website","title":"openstreetmap/openstreetmap-website","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/openstreetmap/openstreetmap-website"}},"updates":{"snippets":[{"icon":"PERSON","message":"@tomhughes in #1609: It's fully supported for direct access, just not for cross origin loads from other web sites. It works fine when loading an openstreetmap.org URL directly in a browser or from a separate application like JOSM.\r\n\r\nBecause the authentication is, or can be, applied implicitly without user authorization or a case-by-case basis it simply isn't safe to allow it for cross origin loads because any random web site you visit could have background javascript that did things on osm.org as you without you ever even knowing."}],"action":{"name":"View Issue","url":"https://github.com/openstreetmap/openstreetmap-website/issues/1609#issuecomment-323528242"}}}</script>