credentialless iframe: виджеты без утечки cookie родителя

Iframe с credentialless загружается без cookie и client credentials родительского сайта — снижает риск side-channel при встраивании чужих виджетов.

Не заменяет юридическое согласие на обработку данных: политика и DPA с вендором остаются обязательными.

- [IFrame credentialless — HTML](https://html.spec.whatwg.org/multipage/iframe-embed-object.html#attr-iframe-credentialless) — Спецификация атрибута.

- [Third-party cookies — web.dev](https://web.dev/articles/third-party-cookie-phaseout) — Контекст 3rd-party cookie.

---

## Внедрение

Тестируйте авторизацию внутри виджета: credentialless ломает «залогинен в родителе».

Комбинируйте с sandbox и Permissions-Policy для camera/mic.