IFrame və yerli konteynerlər: nə zaman seçmək lazımdır

Məqalənin tam mətni

💡 18+. iGaming komandaları, media və fintech məhsulları üçün texniki material. Oyuna çağırış deyil.

1) Terminlər və kontekst

iFrame - üçüncü tərəf məzmunu (oyun, kassa, widget) yerləşdirən HTML konteyneri. Host və məzmun məntiqi olaraq mənşə siyasəti (same-origin policy) ilə təcrid olunur.

Native konteyner - WebView (WKWebView, Android WebView) və ya native SDK (render, şəbəkə, ödənişlər, telemetriya) ilə əvəz olunan veb məzmunun işə salındığı proqram/modul.

Harada rast gəlinir: oyunların başlanğıcı və demosu, lobbi, kassa/onbording, canlı video, cekpot widget, tərəfdaş lendinqlər.

2) Qısa cavab: nə seçmək

Sürətli başlanğıc, bir çox üçüncü tərəf məzmunu, minimum inkişaf → iFrame lazımdır.

Oflayn/aşağı gecikmə/ağır qrafika/cihaz ilə dərin inteqrasiya lazımdır → yerli konteyner (WebView + bridge və ya SDK).

Marketplace/storanalitika/sərt bələdçilər (Apple/Google), sistem ödənişləri, sərt RG-hook → yerli konteyner.

Media saytları, SEO siyahıları, playable-əlavələrlə rəylər → iFrame.

3) Seçim matrisi (sadələşdirilmiş)

Meyar	iFrame	Yerli konteyner
Time-to-market	Dəqiqə/gün	Həftələr/aylar
Məhsuldarlıq/Laps	Orta, şəbəkədən/DOM-dan asılıdır	Yuxarıda, GPU/streams giriş
Cihaza giriş (kamera, NFC, biometriya)	Məhdud	Tam (SDK/permishen vasitəsilə)
Ödənişlər/in-app	Məhdud brauzer/3rd-party	Tam orkestr (StoreKit/Billing)
İzolyasiya təhlükəsizliyi	Güclü (SOP, sandbox)	Güclü, lakin məsuliyyət sizə
SEO	Daxili məzmun indeksləşdirilmir	SEO xaricində proqramlar; WebView - sayt kimi
Storların moderasiyası	Veb tələb olunmur	Tələb olunur, ciddi qaydalar
RG/AML/KYC Hook	API + postMessage vasitəsilə	Dərin inteqrasiya və notifikasiya
A/B və analitika	Tag meneceri vasitəsilə tez	Daha dəqiq, lakin inkişaf daha bahalı
Offline/önbellək	Minimum	Mümkün (assets/DB)

4) iFrame: mükəmməl olduqda

Ssenarilər: demo oyunlarının sürətli çıxışı, partnyor əlavələri, jackpot/reytinq widgetları, playable blokları ilə lendinqlər, B2B aqreqatorları.

Üstünlüklər

İnteqrasiya sürəti: vahid 'src' + açarları/parametrləri.

Qonağın ev sahibindən (SOP) sərt izolyasiyası - sızma riski daha azdır.

Müstəqil provayder buraxılışları (deploy toxunmur).

Yüzlərlə provayderi ölçmək ucuzdur.

Mənfi cəhətlər

Cihaz və yerli ödənişlərlə məhdud inteqrasiya.

Dərin telemetriya daha çətindir (daha çox «körpü»).

3rd-party cookies/Storage (Safari/Firefox/ITP) ilə problemlər.

mobil mürəkkəb full screen/jestlər/klaviatura.

Ən yaxşı təcrübələr

'sandbox' atributları ('allow-forms', 'allow-scripts' ilə məhdudlaşın, 'allow-popups-to-escape-sandbox' üçün lazım olduqda açın).

«Content-Security-Policy» ağ provayder siyahıları ilə; «X-Frame-Options» həssas səhifələr üçün.

Əlaqə - 'postMessage' ilə 'event. origin 'və mesaj sxemi.

Resize: 'ResizeObserver' ivent + 'postMessage (' height ')' → host 'iframe dəyişir. style. height`.

Depolama - Storage Access API/follback; state - URL parametrləri və ya parent state vasitəsilə.

RG/AML: stop siqnalları (özünü istisna, limitlər) - hadisələr vasitəsilə iframe sessiyanı tamamlamalıdır.

5) Yerli konteynerlər: qalib gəldikdə

Ssenarilər: canlı oyunlar və kassa ilə mobil tətbiqlər, mürəkkəb onbording/KUS, aşağı gecikmə ilə real-time axınlar, oflayn rejimlər, stor ödənişləri, AR/VR-fiçlər.

Üstünlüklər

Performans/aşağı gecikmə, dəmir giriş (kamera, biometrik).

Vahid UX və RG/AML dərin inteqrasiyası (sistem alertləri, yerli toplar).

Etibarlı in-app ödənişlər və abunələr (StoreKit/Billing).

Dəqiq telemetriya və nasazlıq nəzarəti (crashlytics, traces).

Mənfi cəhətlər

Sahiblik qiyməti: multi-platforma inkişafı, stores vasitəsilə buraxılışlar.

Apple/Google təsdiq; qumar/ödəniş məhdudiyyətləri.

Daha çox təhlükəsizlik və məxfilik vəzifələri.

Nümunələr

WebView + JS bridge (ikitərəfli kanal): oyun/ödənişlər/limitlər hadisələri yerli gedir.

Hibrid: kritik yerli ekranlar (kassa, KYC, RG), məzmun - WebView/iFrame.

SDK provayder: oyunlar/axınlar kitabxana ilə birləşdirilir; host tokenlər, limitlər, cüzdan verir.

6) Rabitə: iFrame ⇄ host və WebView ⇄ nativ

Web (iFrame):

`window. postMessage({type, payload}, targetOrigin)`
Hadisə sxemi: 'game. session. start/stop`, `bet. place/settle`, `rg. limit. hit`, `jackpot. contribution`, `error`.
Validasiya: 'origin' yoxlayın, versiya daxil edin ('v1', 'v2').

Nativ (WebView):

iOS: `WKScriptMessageHandler`; Android: 'addJavascriptInterface' (@JavascriptInterface ilə, lazımsız sərgilənmədən).
Eyni format ('type', 'payload', 'trace _ id'), kritik komandalar üçün HMAC imzaları.

7) Təhlükəsizlik və uyğunluq

CSP, sandbox, assets üçün SRI; ehtiyac olmadan 'allow-top-navigation-by-user-activation' söndürmək.

Ev sahibi və məzmun arasında Zero-trust: minimal permishen, təhlükəli API-lər.

PII/rezidentlik: regionlar üzrə anbarlar və qeydlər; Regional sorğuların qadağan edilməsi.

RG/AML: sinxron stop siqnalları; log WORM krit hərəkətləri.

Cookies/ITP: istifadə edin 'SameSite = None; Secure`; для 3rd-party — Storage Access API или server-side session.

8) Performans və UX

iFrame: tənbəl qoşulma ('loading = lazy'), şəbəkə resurslarının prioritetləşdirilməsi, provayder domenlərinə 'preconnect'.

WebView: lazımsız JS-ni söndürmək, assetləri önbellək etmək, hardware sürətləndirməsini yandırmaq, GC/yaddaş təmizliyini izləmək.

Full Screen və Orientation: Hadisə sxemi vasitəsilə sərt qeyd (keçid nə vaxt və kim başlayır).

Səhv emalı: vahid kodlar ('NETWORK _ TIMEOUT', 'PAYMENT _ BLOCKED', 'RG _ BLOCK') və UX-prompt.

9) Analitika və A/B

Hadisə şini: 'session. started/ended`, `bet. placed/settled`, `deposit. succeeded`, `rg. limit. hit`, `error`.

Identifikatorları: 'tenant _ id/brand _ id/region/player _ pseudo', 'trace _ id'.

iFrame-də parent-proxy (hostda tag-manager) vasitəsilə trek, WebView-da yerli SDK analitikləri.

A/B: Hostda fayllar; iFrame 'postMessage (init)' vasitəsilə variantı tanıyır.

10) Ödənişlərin inteqrasiyası

Web/iFrame: iFrame daxilində deyil (daha az 3rd-party kilidləri, daha yaxşı UX, daha asan RG/AML).

Nativ: StoreKit/Billing icazə verilən ssenarilər üçün; əks halda - PSP orkestrasiyası yerli olaraq güclü telemetriya və idempotency ilə.

11) Kase seçim kartı

Siz minlərlə oyun və minimum dev resursları olan bir aqreqator/mediasınız:

→ iFrame, ciddi 'sandbox', 'postMessage' -protokol, kassa/host limitləri.

Siz mobil proqram, kassa, KYC, canlı şou ilə operatorsunuz:

→ Yerli konteyner: lobbi üçün WebView, yerli kassa/KYC/RG, SDK live-provayder.

Siz - unikal 3D/AR oyunu və məcburi offline ilə studiya:

→ Tətbiqdə tam yerli SDK və ya mühərrik.

12) Çek vərəqləri

iFrame inteqrasiyası

'sandbox' + minimum 'allow' -true.
CSP ağ siyahıları ilə; Skriptlər üçün SRI.
Aydın sxem 'postMessage' (+ version + validasiya 'origin').
RG/AML stop siqnalları dəstəklənir, sessiyalar düzgün başa çatır.
Saxlama: ITP/3rd-party cookies planı.
Telemetri: bets/min, settle-lag, error-rate, FPS (lazım olduqda).

Yerli konteyner

Ağ metodlar siyahısı və payload tipifikasiyası ilə JS-bridge.
Yerli kassa/KYC/RG, pul yollarında idempotency.
Toplar, deep-links, lifecycle-huki (zəng/fon işi zamanı oyun pauza).
Crash/trace, privacy-permishen, PII giriş audit.
Apple/Google-ın həyəcan siyasəti və ödənişlər yerinə yetirilir.

13) Anti-nümunələr (qırmızı bayraqlar)

Kassanın iFrame provayderinə daxil edilməsi (RG/AML/telemetriya üzərində nəzarəti itirmək).

«event» təsdiqinin olmaması. origin` в `postMessage`.

3rd-party cookies yalnız steyt yolu kimi.

Bir neçə marka/bölgə üçün eyni açarlar/sirləri.

Veb müfəttişdən balans/limitlərin əl ilə düzəldilməsi (server yoxlamaları yoxdur).

Sıfır deqradasiya: iFrame düşməsi graceful-fallback olmadan bütün səhifəni qırır.

14) Nəticə

iFrame - məzmun ekosisteminə «sürətli şlüz»: kiçik xərclər, sərt izolyasiya, sürətli buraxılışlar. Native konteynerlər - dərinlik haqqında: performans, cihaz, gizli ödənişlər, ciddi RG/AML və üst UX. Bir yanaşma deyil, bir kombinasiya qazanır: iFrame/veb üçün kataloq və demo, pul, canlı təcrübə və tənzimləyici sərtlik. Məsuliyyət zonalarının düzgün bölünməsi, hadisələrin dəqiq müqavilələri və güclü təhlükəsizlik sürət, risk və keyfiyyət baxımından heç bir güzəşt etmədən miqyas verəcəkdir.