Custom HTML — статичный сайт + vanilla JS

Самый простой случай: обычная HTML-форма на статичном сайте, Jekyll или Hugo. Перехватываем submit, отправляем копию в 1ОПД, продолжаем штатную отправку.

Какой ключ и какая защита

Тип ключа: pk_ (publishable — можно публиковать в браузере)
Защита: Origin whitelist по домену сайта. Без HMAC — секрет в HTML = не секрет.
Multi-form: 1 ключ на сайт с forms_scope=[id1, id2, …] — и в каждом запросе передаёте form_id в body.
В ЛК добавьте все нужные хосты: example.com, www.example.com, при необходимости *.example.com для поддоменов.

Создать ключ для своего сайта → ваш ЛК 1ОПД · Все endpoints → API Reference

Готовая форма + сниппет

HTML + JS

<form id="lead-form">
  <input name="email" type="email" required placeholder="Email" />
  <input name="name"  type="text"  required placeholder="Имя" />
  <input name="phone" type="tel" placeholder="Телефон" />
  <label>
    <input type="checkbox" required />
    Согласен на обработку персональных данных
  </label>
  <button type="submit">Отправить</button>
</form>

<script>
document.getElementById('lead-form').addEventListener('submit', async function (e) {
  e.preventDefault();
  const fd = new FormData(e.target);

  try {
    const res = await fetch('https://v2.1opd.ru/api/v2/create-agreement', {
      method: 'POST',
      headers: {
        // pk_ — публичный ключ; защищён через allowed_origins в ЛК
        'API-KEY': 'pk_xxxxxxxxxxxxxxxxxxxx',
        'Content-Type': 'application/json'
      },
      body: JSON.stringify({
        form_id: 1,
        hash_field: fd.get('email'),
        fields: Array.from(fd.entries()).map(([k, v]) => ({
          field: k,
          value: String(v)
        }))
      })
    });
    const data = await res.json();
    console.log('Hash:', data.hash);
  } catch (err) {
    console.warn('1ОПД error:', err);
  }

  // Здесь — ваша основная отправка (в свою CRM, на email, и т.д.)
  e.target.submit();
});
</script>

Как работает Origin-whitelist

Браузер сам подставляет заголовок Origin для cross-origin запросов — подделать его из JS нельзя.
В allowed_origins ключа задаётся только host (без https:// и порта). Wildcard на первый сегмент: *.example.com подходит для shop.example.com, но не для самого example.com.
Запрос без Origin/Referer (например, из curl) отклоняется с 403 — ключом не получится воспользоваться с произвольного сервера.
Если ключ утечёт — отозвите его в ЛК. После отзыва запросы получают 401.

Почему НЕ HMAC в браузере

HMAC требует секрет. Любой секрет в HTML/JS — это публичная информация: достаточно открыть DevTools. Поэтому HMAC включают только для server-side интеграций. Если нужна максимальная защита из браузера — ограничьтесь pk_ + строгим списком allowed_origins. См. Server-side API и API Reference.

Загружаем 1ОПД

Подготавливаем страницу…

Проверить сайт

Custom HTML — статичный сайт + vanilla JS

Какой ключ и какая защита

Тип ключа: pk_ (publishable — можно публиковать в браузере)
Защита: Origin whitelist по домену сайта. Без HMAC — секрет в HTML = не секрет.
Multi-form: 1 ключ на сайт с forms_scope=[id1, id2, …] — и в каждом запросе передаёте form_id в body.
В ЛК добавьте все нужные хосты: example.com, www.example.com, при необходимости *.example.com для поддоменов.

Создать ключ для своего сайта → ваш ЛК 1ОПД · Все endpoints → API Reference

Готовая форма + сниппет

HTML + JS

<form id="lead-form">
  <input name="email" type="email" required placeholder="Email" />
  <input name="name"  type="text"  required placeholder="Имя" />
  <input name="phone" type="tel" placeholder="Телефон" />
  <label>
    <input type="checkbox" required />
    Согласен на обработку персональных данных
  </label>
  <button type="submit">Отправить</button>
</form>

<script>
document.getElementById('lead-form').addEventListener('submit', async function (e) {
  e.preventDefault();
  const fd = new FormData(e.target);

  try {
    const res = await fetch('https://v2.1opd.ru/api/v2/create-agreement', {
      method: 'POST',
      headers: {
        // pk_ — публичный ключ; защищён через allowed_origins в ЛК
        'API-KEY': 'pk_xxxxxxxxxxxxxxxxxxxx',
        'Content-Type': 'application/json'
      },
      body: JSON.stringify({
        form_id: 1,
        hash_field: fd.get('email'),
        fields: Array.from(fd.entries()).map(([k, v]) => ({
          field: k,
          value: String(v)
        }))
      })
    });
    const data = await res.json();
    console.log('Hash:', data.hash);
  } catch (err) {
    console.warn('1ОПД error:', err);
  }

  // Здесь — ваша основная отправка (в свою CRM, на email, и т.д.)
  e.target.submit();
});
</script>

Как работает Origin-whitelist

Браузер сам подставляет заголовок Origin для cross-origin запросов — подделать его из JS нельзя.
В allowed_origins ключа задаётся только host (без https:// и порта). Wildcard на первый сегмент: *.example.com подходит для shop.example.com, но не для самого example.com.
Запрос без Origin/Referer (например, из curl) отклоняется с 403 — ключом не получится воспользоваться с произвольного сервера.
Если ключ утечёт — отозвите его в ЛК. После отзыва запросы получают 401.

Custom HTML — статичный сайт + vanilla JS

Готовая форма + сниппет

Как работает Origin-whitelist

Почему НЕ HMAC в браузере

Уже клиент 1ОПД

Ещё не клиент

API Reference

Custom HTML — статичный сайт + vanilla JS

Готовая форма + сниппет

Как работает Origin-whitelist

Почему НЕ HMAC в браузере

Уже клиент 1ОПД

Ещё не клиент

API Reference