feat: 更新环境配置并增强 iframe 安全处理机制

修改 .env.example，优化环境切换说明，并新增 API_BASE_URL 配置项，提升配置管理能力。更新 next.config.ts：使用 API_BASE_URL 代理 API 请求，增强开发与生产环境的灵活性。重构 iframe-bridge 与 use-token-refresh 组件，采用新的 iframe 来源校验方法，提升安全性检查能力。优化 csp-config.ts：动态注入允许的父级来源（parent origins）到 CSP 配置中，强化安全策略。调整 lottery-http：通过 Next.js 代理转发 API 请求，简化 API 调用流程。
2026-05-28 10:12:24 +08:00
parent 58afa8e844
commit 1316a62ce3
8 changed files with 203 additions and 54 deletions
--- a/.env.example
+++ b/.env.example
@@ -1,14 +1,12 @@
 # =============================================================================
 # 前端本地配置示例
 # =============================================================================
+# 手动切换环境：保留一个生效，另一个注释掉

-# Next 开发服务代理目标：浏览器请求 /api/* 时由 Next 转发到这里。
-# 默认值已经在 next.config.ts 中兜底为 http://127.0.0.1:8000；本地 Laravel 端口不同时再改。
-LOTTERY_API_PROXY_TARGET=http://127.0.0.1:8000
-
-# 可选：如果设置此值，浏览器会绕过 Next 代理，直接请求该 API 地址。
-# 一般本地开发建议留空，让请求走同源 /api 代理，避免 CORS。
-# NEXT_PUBLIC_LOTTERY_API_BASE_URL=http://127.0.0.1:8000
+# 测试
+API_BASE_URL=http://127.0.0.1:8000
+# 线上
+# API_BASE_URL=https://api.your-production-domain.com

 # 可选：大厅「玩法与赔率」接口 `/api/v1/play/effective` 的 ?currency=（如 NPR）；不设则由后端选默认可下注币种。
 # NEXT_PUBLIC_LOTTERY_PLAY_CURRENCY=NPR