feat: 增强钱包 API URL 验证与配置

- 在 AdminIntegrationSiteStoreRequest 和 AdminIntegrationSiteUpdateRequest 中引入 WalletApiUrlRule，确保 wallet_api_url 字段符合 HTTPS 公开域名要求。
- 更新 HttpMainSiteWalletBalanceClient 和 HttpMainSiteWalletGateway，使用 WalletApiUrlSanitizer 进行 URL 规范化与验证，防止 SSRF 攻击。
- 新增测试用例，验证 wallet_api_url 的有效性，确保系统安全性与稳定性。
- 更新 .env.example 文件，添加 LOTTERY_RISK_POOL_USE_REDIS_LUA 配置项以支持 Redis Lua 原子扣减功能。
- 修改 package-lock.json 中的项目名称，确保一致性。
- 在 API 路由中新增 integration/runtime-origins 路由，提供运行时白名单功能。

routes/api/v1/public.php

@@ -10,6 +10,7 @@ use App\Http\Controllers\Api\V1\Jackpot\JackpotSummaryController;
 use App\Http\Controllers\Api\V1\Play\PlayEffectiveCatalogController;
 use App\Http\Controllers\Api\V1\Player\PingController as PlayerPingController;
 use App\Http\Controllers\Api\V1\Setting\SettingIndexController;
+use App\Http\Controllers\Api\V1\Integration\IntegrationRuntimeOriginsController;
 
 /**
  * 公开路由（无需登录）。
@@ -43,3 +44,7 @@ Route::prefix('player')
 
 // 系统公共配置（如前端规则等）
 Route::get('settings', SettingIndexController::class)->name('api.v1.settings.index');
+
+// iframe 运行时白名单（只公开启用接入站点的 origin，不公开密钥）
+Route::get('integration/runtime-origins', IntegrationRuntimeOriginsController::class)
+    ->name('api.v1.integration.runtime-origins');