Embed-Sicherheit

Warum ein JWT mit filters in claims

Wandern Filter in der URL, kann Client-JS sie manipulieren und das iframe zeigt fremde Daten. Ein signiertes JWT mit Filtern in claims macht das strukturell unmöglich.

Origin-Allowlist

Der mk_* API-Key hat eine Allowlist von Origins. POST /api/v1/embed/tokens Requests von einem anderen Origin werden abgelehnt.

Kurze TTL

Das Embed-JWT wird mit einer TTL von 5–60 Minuten ausgestellt (konfigurierbar über ttl_seconds bei der Ausstellung). Ein alter Link funktioniert nach dem Fenster nicht mehr.

CORS

Die Embed-Surface hat * CORS (Partner-Sites auf beliebigen Domains). Die Cabinet-Surface ist Allowlist. Die mTLS-Surface hat gar kein CORS.