Seguridad
Checklist Embed
Prácticas obligatorias para partners en producción.
Secreto solo servidor
Nunca expongas ink_sk_* en HTML, bundles ni logs.
Tokens de sesión
No pegues JWT de embed en URLs públicas ni consola.
allowedOrigins
Lista explícita de orígenes del partner.
postMessage
Valida origin, source y sessionId.
CORS
Las rutas embed validan Origin del partner.
Cache del bundle
URLs versionadas son inmutables; alias v1 se revalida.