Seguridad del embed

Por qué un JWT con filters en los claims

Si los filtros viajan en la URL, el JS de cliente puede manipularlos y el iframe empieza a mostrar datos ajenos. Un JWT firmado con filtros en los claims lo hace estructuralmente imposible.

Origin allowlist

La clave API mk_* tiene una allowlist de orígenes. Las peticiones POST /api/v1/embed/tokens desde otro Origin se rechazan.

TTL corto

El JWT embed se emite con una TTL de 5–60 minutos (configurable vía ttl_seconds en la emisión). Un enlace antiguo deja de funcionar tras la ventana.

CORS

La superficie embed tiene CORS * (sitios partner en cualquier dominio). La superficie cabinet es allowlist. La superficie mTLS no tiene CORS en absoluto.