模拟普通网站接入

这个页面展示的是更接近真实站点的 cookie 模式接入。业务页面只需要嵌入 `/v2/popup?sitekey=...`，验证码通过后由后端直接写入验证 cookie，后续接口依靠 cookie 自然放行。

业务内容区域

左侧模拟一个正常业务站点的主体区域。这里不关注验证码内部细节，只关心“通过验证后，cookie 保护的接口是否能正常访问”。

订单中心 这里可以理解为真实业务页面。只有通过验证码后，才允许请求后端的敏感接口。

账户设置 宿主页不需要感知验证码内部细节，只需要监听 `postMessage`，拿到 token 后发起自己的 XHR。

风控扩展 后续可以按 `sitekey` 做不同的题目参数、风控权重和域名白名单。

接入方式 业务站点只嵌 iframe，不需要感知验证流程内部细节。

鉴权模式 当前 demo 使用 cookie，由后端写入 httpOnly 验证凭证。

过期控制 cookie 有效期支持默认值和站点级覆盖。

后续扩展 可以继续按站点分配不同题型、白名单和风控策略。

右侧是宿主页真正会持有的接入区域。验证完成后不显示内部调试信息，而是直接切成更像业务组件的完成态。

Sitekey：-

状态：未验证

✓

验证已完成 当前站点已经具备可用的验证码 cookie。

COOKIE Session active

等待用户完成验证码验证。

等待验证码写入有效 cookie...