保护第三方在不同域上托管的 SPA

我正在寻找一些关于安全的意见。我们希望合作伙伴在他们自己的域上托管我们的 SPA，这样他们只需要进行一次初始 API 调用，然后他们的用户就可以使用嵌入式 SPA 来完成一些表格。显然，这对我们的合作伙伴来说是最小的设置，并且对我们来说是可扩展的。它看起来像这样：

我们会用 Vanilla JS 编写 SPA，以便它可以在任何合作伙伴页面上运行，但问题是 SPA 与我们后端的通信。我们可以编译针对每个用户的 JS（即唯一端点、一次性令牌、cookie），并在每次请求/响应时刷新/重置它们。但明显的问题是安全性和 XSS 盗窃和使用。

在这里做了一些研究，特别是在这篇文章中提出和评论的问题，我正在寻找一个建议来最小化这个特定用例中的 XSS。架构要求很重要，因为我们的合作伙伴几乎什么都不用做，但显然这会引起关注。非常欢迎任何建议。