С каждым запросом передаются следующие данные:
https://my-app.com/generate_order?
token=user_access_token
&user_id=5
&ids[]=1&ids[]=2
&type=deals
&hash=ae123fb334cd39823e
Передаются всегда
token - access token пользователя
user_id - идентификатор текущего пользователя, отправившего запрос. Может быть полезно, если ваше приложение имеет доступ ко всем пользователям аккаунта.
hash - случайная сгенерированная строка. Понадобится вам если вы хотите взаимодействовать с интерфейсом S2 из iframe (например, отсылать уведомления).
Параметры, которые передаются опционально в зависимости от типа действия.
ids[] - список выбранных объектов. Для Карточки объекта это всегда будет массив из одного
id объекта.
type - тип отправляемых объектов по JSON API (например, orders, diary-tasks)
Ознакомьтесь с возможностями s2crm.js
Проверьте sandbox правило ваших Content-Security-Policy заголовков
(документация).
Чаще всего достаточным является правило:
Content-Security-Policy: sandbox allow-forms allow-popups allow-same-origin allow-scripts;