Origin lock · size cap

Origin check: app/api/chat/route.ts legge lo header Origin (o Referer come fallback) e lo confronta con la env var ALLOWED_ORIGIN. Mismatch → 403. Serve a bloccare l'uso della API da un dominio diverso (es. embed malintenzionato).

Size cap: la somma delle lunghezze dei messaggi in input non può superare 2000 caratteri. Oltre quella soglia il server risponde 413. Oltre la difesa dal prompt-bombing, serve anche come early signal che qualcosa non va — una query genuina raramente sfora i 200 caratteri.

Entrambi i check sono fail-open in dev (localhost) e fail-open in prod se la env var relativa non è settata. Il deploy checklist (DEPLOY.md) insiste sul configurarli prima del push pubblico.