Безопасность embed

Зачем JWT с filters в claims

Если фильтры передавать в URL — клиентский JS может их подменить, и iframe начнёт показывать чужие данные. JWT с подписью + фильтрами в claims делает это структурно невозможным.

Origin allowlist

API-ключ mk_* имеет белый список origin’ов. Запросы POST /api/v1/embed/tokens с другого Origin — отклоняются.

Короткий TTL

Embed JWT issued с TTL 5–60 минут (настраивается через ttl_seconds при выпуске). Старая ссылка перестаёт работать через окно.

CORS

Embed surface имеет * CORS (партнёрские сайты в любых доменах). Cabinet surface — allowlist. mTLS surface — без CORS вообще.