Saltar al contenido principal

Seguridad

Checklist Embed

Prácticas obligatorias para partners en producción.

  • Secreto solo servidor

    Nunca expongas ink_sk_* en HTML, bundles ni logs.

  • Tokens de sesión

    No pegues JWT de embed en URLs públicas ni consola.

  • allowedOrigins

    Lista explícita de orígenes del partner.

  • postMessage

    Valida origin, source y sessionId.

  • CORS

    Las rutas embed validan Origin del partner.

  • Cache del bundle

    URLs versionadas son inmutables; alias v1 se revalida.