Erreurs CORS dans l’embed

Symptôme

Access to fetch at 'https://api...' from origin 'https://...' has been blocked by CORS policy

Cause

La requête est allée vers la surface cabinet (CORS en allowlist), pas vers la surface embed (CORS *).

Solution

1. Le site partenaire doit taper sur /api/v1/embed/*, pas /api/v1/orgs/*
2. JWT (pas un cookie) — via Authorization: Bearer
3. L’origine du site partenaire doit figurer dans l’allowlist de la clé API mk_*