Домен-allowlist
Ограничение виджета доверенными доменами.
Ключ виджета встраивается прямо в код страницы сайта, а значит виден любому, кто откроет исходный код страницы. Чтобы такой ключ нельзя было скопировать и использовать на чужом сайте, он ограничивается списком доверенных доменов (allowlist).
Как это работает
Каждый запрос от виджета к платформе браузер сопровождает заголовком Origin — доменом, с которого выполнен запрос. Платформа сравнивает этот домен со списком доменов, разрешённых для конкретного ключа. Если домен запроса не входит в список — запрос отклоняется с ошибкой доступа, даже если ключ указан правильно.
Что это значит на практике
- Ключ виджета, настроенный для
example.com, не заработает, если его скопировать и вставить наanother-site.com. - На локальном стенде разработки (например, при тестировании перед запуском на прод-домене) виджет с продовым ключом также не заработает, если тестовый домен не добавлен в список.
Настройка списка доменов
Список доверенных доменов настраивается для ключа на стороне платформы при выпуске ключа виджета. Если нужно добавить сайт на новом домене (например, второй сайт компании) или переехать на другой домен — сообщите об этом команде, обслуживающей вашу организацию на платформе, чтобы обновить allowlist для ключа.
Диагностика
Если виджет не отвечает и в консоли браузера видна ошибка вида «origin not allowed» — это верный признак того, что текущий домен страницы не входит в allowlist ключа виджета.