CORS errors в embed

Симптом

Access to fetch at 'https://api...' from origin 'https://...' has been blocked by CORS policy

Причина

Запрос ушёл на cabinet-surface (allowlist CORS), а не embed-surface (* CORS).

Решение

1. Партнёрский сайт должен бить в /api/v1/embed/*, не /api/v1/orgs/*
2. JWT (не cookie) — через Authorization: Bearer
3. Origin партнёрского сайта должен быть в allowlist API-ключа mk_*