线上部署

把 Kivicube Web 内容接入线上环境时，建议至少检查下面几项。

1. 宿主页面必须可 HTTPS 访问

这是最基础也是最容易忽略的一项。

如果宿主页不是 HTTPS：

• 摄像头可能无法正常工作
• iOS/Safari/App 内 WebView 的兼容性会明显变差

2. 允许页面嵌入官方 iframe

你的站点不需要和 Kivicube 同源，但要保证：

• 没有错误地覆盖 iframe 展示区域
• 没有把 allow 权限属性剥掉

当前插件会为 iframe 补齐默认需要的权限能力，包含摄像头、陀螺仪、全屏等。

3. 如果有安全策略，记得放行相关域名

如果你的站点有较严格的 CSP 或前端网关限制，通常至少要考虑：

• frame-src：放行 https://www.kivicube.com
• script-src：如果直接引官方脚本，也要放行该域名

4. 动态素材要处理 CORS

如果你会在运行时调用：

• createImage(url)
• createGltfModel(url)
• createVideo(url)
• createPanorama(url)
• createEnvMapByHDR(url)
• createXxx(url)

那么这些资源源站必须允许 https://www.kivicube.com 跨域访问。

5. 做真实终端验收

至少要验证：

• iPhone Safari / 微信
• Android Chrome / 微信
• 你的目标 App 内 WebView

不要只在桌面浏览器里确认“能打开”就上线。

6. 明确水印与授权状态

上线前请确认：

• 内容是否有普通水印
• 域名是否会触发开发者水印
• 高级 API 与非默认属性是否都在授权范围内

推荐上线清单

1. 真实域名 HTTPS 可访问
2. 场景/合辑 ID 正确
3. 事件监听与错误兜底已接入
4. CORS 验证通过
5. 水印与权限验证通过
6. 真机回归通过