Создание запроса GET с секретом, который браузер может прочитать, но сервер не может

Представьте себе 2 сайта, оба принадлежат мне. На website-y.com пользователь может перейти по ссылке:

<a href=https://website-x.com/get_secret_token>Get your secret</a>

Это приводит его к website-x.com, где сервер генерирует секретный токен и перенаправляет пользователя обратно на website-y.com:

302 REDIRECT https://website-y.com?secret_token=foo

Теперь сервер website-y.com может читать secret_token Param и делать вещи.

Но что, если секретный токен также является секретным для сервера website-y.com?

Токен должен быть доступен только в браузере, поэтому функция Javascript может поднять его и делать что-либо.

Я выбрал Web Storage как решение, которое может быть прочитано только браузером, но, очевидно, я не могу обмениваться данными между различными источниками (поэтому website-x.com не может хранить контент для website-y.com).

Есть ли другой способ передать секрет с сайта website-x.com на сайт website-y.com, не отправляя его через сервер website-y.com?