Sécurité de l'embed

Pourquoi un JWT avec filters dans les claims

Si les filtres voyagent dans l'URL, le JS client peut les altérer et l'iframe se met à afficher les données d'autrui. Un JWT signé avec des filtres dans les claims rend cela structurellement impossible.

Origin allowlist

La clé API mk_* a une allowlist d'origines. Les requêtes POST /api/v1/embed/tokens depuis un autre Origin sont rejetées.

TTL court

Le JWT embed est émis avec une TTL de 5–60 minutes (configurable via ttl_seconds à l'émission). Un ancien lien cesse de fonctionner après la fenêtre.

CORS

La surface embed a un CORS * (sites partenaires sur n'importe quel domaine). La surface cabinet est allowlist. La surface mTLS n'a aucun CORS.

← ← Précédent

Embed iframe