@blakfy/cookie 2.1.0

package/ARCHITECTURE.md

@@ -0,0 +1,186 @@
+# Blakfy Cookie — v2.0 Architecture
+
+> Tek script ile yüklenen, sıfır bağımlılık, çok motorlu uyumluluk sağlayan widget tabanlı cookie consent sistemi. Vanilla + Next.js destekli, jsDelivr CDN üzerinden otomatik güncellenir.
+
+---
+
+## Tasarım İlkeleri
+
+| İlke | Karar | Neden |
+|---|---|---|
+| **Dağıtım** | jsDelivr `@2` major-pin | Kullanıcılar `@2`'ye bağlanır; biz `git tag v2.x.x` push edince anında yayılır. `@latest` yasak. |
+| **Sıfır bağımlılık** | Vanilla JS, IIFE, ES5 syntax (cookie.js); ESM build (cookie-next) | Eski tarayıcılar, çoklu stack |
+| **Geriye uyumluluk** | v1 API kontratı v2'de korunur | Mevcut `@1` entegrasyonları kırılmaz, yeni metotlar additive |
+| **Boyut bütçesi** | Core ≤ 24 KB minified+gzip (gerçek: ~23 KB) | Site performansı; rakipler 50-150 KB |
+| **Re-consent disiplini** | Sadece `data-blakfy-version` (policyVersion) re-consent tetikler | `cookie.js` bump'ı kullanıcıyı etkilemez |
+| **Branding** | "Powered by Blakfy Studio" badge — kapatılamaz, anti-tampering korumalı | Marka koruması |
+| **Compliance kapsamı** | Google CMv2 + Microsoft UET + Yandex Metrica + IAB TCF v2.2 + CCPA + GPC + DNT | Üç büyük arama motoru + AB + ABD yasal uyumluluk |
+
+---
+
+## Klasör Yapısı
+
+```
+blakfy-cookie/
+├── src/                              # v2 kaynak ağacı
+│   ├── core/                         # consent state, cookie I/O, audit, events
+│   ├── compliance/                   # motor + yasal uyumluluk modülleri
+│   │   ├── google-cmv2.js
+│   │   ├── microsoft-uet.js
+│   │   ├── yandex-metrica.js
+│   │   ├── tcf-v2.js
+│   │   ├── ccpa.js
+│   │   ├── gpc.js
+│   │   └── dnt.js
+│   ├── i18n/                         # 23 dil, BCP47 detect
+│   ├── ui/                           # banner, modal, status-bar, badge, focus-trap
+│   ├── gating/                       # script + iframe unblocker, observer, cleaner
+│   ├── presets/                      # 18 hazır araç entegrasyonu
+│   ├── geo/                          # jurisdiction tespiti (GDPR/CCPA/LGPD)
+│   ├── api.js                        # window.BlakfyCookie public API
+│   └── index.js                      # entry
+├── packages/
+│   └── cookie-next/                  # Next.js wrapper (npm: @blakfy/cookie-next)
+├── dist/                             # CDN servis edilen build çıktısı
+├── examples/                         # vanilla + nextjs + wordpress
+├── tests/                            # Vitest (jsdom)
+├── scripts/                          # esbuild build script'i
+├── .github/workflows/                # test.yml + release.yml
+├── legacy/                           # v1.x kaynak (geri dönüş güvenliği)
+├── ARCHITECTURE.md                   # bu dosya
+├── COMPLIANCE.md                     # uyumluluk detayları
+├── TCF-CERTIFICATION.md              # IAB Europe başvuru süreci
+├── CHANGELOG.md
+├── MIGRATION.md                      # v1 → v2 (genelde sıfır iş)
+└── README.md                         # AI-friendly kurulum kılavuzu
+```
+
+---
+
+## Veri Akışı
+
+```
+┌─────────────────────────────────────────────────────┐
+│  1. Bootstrap (cookie-defaults.min.js, <head> ilk)  │
+│     - GCM v2 default 'denied'                       │
+│     - UET default 'denied'                          │
+│     - Yandex cookies engelli                        │
+│     - GPC/DNT header okundu, opt-out flag set       │
+└─────────────────────┬───────────────────────────────┘
+                      ↓
+┌─────────────────────────────────────────────────────┐
+│  2. Widget (cookie.min.js, <body> sonu)             │
+│     ─────────────────────────────────────────       │
+│     a) src/geo/jurisdiction tespit (GDPR/CCPA/...)  │
+│     b) src/core/consent-store cookie oku            │
+│     c) Yoksa → src/ui/banner render                 │
+│        (sağ alt köşede badge dahil)                 │
+│     d) src/gating/observer DOM tara                 │
+│     e) Aktif preset'leri kaydet                     │
+└─────────────────────┬───────────────────────────────┘
+                      ↓
+┌─────────────────────────────────────────────────────┐
+│  3. Kullanıcı kararı                                │
+│     - acceptAll / rejectAll / save preferences      │
+│     ↓                                               │
+│     src/core/consent-store cookie yaz               │
+│     src/compliance/* her motora sinyal gönder       │
+│     src/gating/script-unblocker tag'leri aktive et  │
+│     src/core/audit endpoint POST                    │
+│     window.BlakfyCookie.onChange listener'ları emit │
+└─────────────────────────────────────────────────────┘
+```
+
+---
+
+## Public API Yüzeyi
+
+### v1 Uyumluluğu (kırılmaz)
+
+```js
+window.BlakfyCookie.open() / acceptAll() / rejectAll()
+window.BlakfyCookie.getConsent("analytics")
+window.BlakfyCookie.getState() / onChange(fn) / setLocale("ar")
+window.BlakfyCookie.version
+```
+
+### v2 Yeni API
+
+```js
+// Tag-gating
+BlakfyCookie.onConsent("marketing", granted => {})
+BlakfyCookie.registerCleanup({ category, cookies, storage })
+BlakfyCookie.unblock("marketing")
+BlakfyCookie.scan()
+BlakfyCookie.usePreset("google-analytics")
+
+// IAB TCF v2.2
+window.__tcfapi("getTCData", 2, callback)
+BlakfyCookie.tcf.getTCString()
+
+// CCPA / CPRA
+BlakfyCookie.ccpa.optOut() / isOptedOut()
+
+// Jurisdiction
+BlakfyCookie.getJurisdiction()  // "GDPR" | "CCPA" | "LGPD" | "default"
+```
+
+---
+
+## Re-consent Politikası
+
+Tek tetikleyici: `data-blakfy-version` (politika versiyonu) değişimi.
+
+```js
+// Cookie okuma
+if (s.version !== config.policyVersion) return null;  // re-consent
+// blakfy version (kütüphane sürümü) artık karşılaştırılmıyor — v1 bug fix
+```
+
+Yani sen `cookie.js`'i `v2.0.0 → v2.0.1` güncellersen kullanıcılar etkilenmez. Sadece sen `data-blakfy-version="1.0" → "2.0"` yaparsan re-consent tetiklenir.
+
+---
+
+## Branding (Anti-Tampering)
+
+3 katmanlı koruma:
+
+1. **CSS:** `.blakfy-badge { display: flex !important; opacity: 1 !important; pointer-events: auto !important; }`
+2. **DOM:** `MutationObserver` widget kökünü izler. Badge silinirse 50ms sonra geri ekler. `data-*` attribute manipulation görmezden gelinir.
+3. **Kod:** Badge HTML build sırasında sabitlenir, config'den okumaz.
+
+Test: `tests/badge-anti-tamper.test.js` — silme, CSS injection, attribute tampering senaryoları.
+
+---
+
+## Boyut Bütçesi
+
+| Katman | Hedef (gzip) |
+|---|---|
+| Core (consent + UI + i18n + badge) | ≤ 14 KB |
+| Compliance toplamı (lazy) | ≤ 6 KB |
+| 18 Preset (lazy) | ≤ 4 KB |
+| **TOPLAM (her şey aktif)** | **≤ 22 KB** |
+
+`scripts/build.js` her release'de boyut kontrolü yapar; bütçeyi aşan PR'lar CI'da fail olur.
+
+---
+
+## Geliştirme Akışı
+
+```bash
+npm install              # workspace + cookie-next deps
+npm run dev              # esbuild watch
+npm test                 # Vitest jsdom
+npm run build            # dist/cookie.min.js + cookie-defaults.min.js
+npm run build:next       # tsup → packages/cookie-next/dist
+npm run size             # bundle size guard
+```
+
+Release:
+```bash
+git tag v2.0.0
+git push --tags
+# GitHub Actions → tests + build + npm publish + GitHub Release
+# jsDelivr @2 anında güncellenir
+```

package/CHANGELOG.md

@@ -0,0 +1,107 @@
+# Changelog
+
+All notable changes follow [Keep a Changelog](https://keepachangelog.com/) and SemVer.
+
+---
+
+## [2.1.0] — 2026-04-30
+
+### Added
+- **3-tab preferences modal** — Kategoriler / Hizmetler / Hakkında
+  - Hizmetler sekmesi: GDPR Madde 13/14 + KVKK Madde 10 uyumlu servis ifşası (veri işleyici, adres, amaçlar, teknolojiler, toplanan veriler, hukuki dayanak, saklama süresi, aktarım ülkeleri, gizlilik politikası linkleri)
+  - Accordion kartlar: accordion expand/collapse per service
+  - Hakkında sekmesi: CMP kimliği, platform açıklaması, sürüm
+- **18 preset için `SERVICE_METADATA`** (`src/data/service-metadata.js`) — ga4, gtm, facebook, clarity, hotjar, youtube, vimeo, linkedin, yandex, bing, tiktok, pinterest, tawkto, intercom, hubspot, mailchimp, maps, recaptcha
+- **3 renk teması** — `light` (beyaz), `gray` (açık gri), `dark` (siyah); `auto` → `prefers-color-scheme`
+- 23 dile `tabs`, `service`, `svcAbout` çeviri anahtarları eklendi
+
+### Changed
+- Banner emoji kaldırıldı (kurumsal uyumluluk)
+- Banner butonları `flex:1 flex-wrap:nowrap` ile eşit genişlikte, yatay düzen
+- Widget kart genişliği `min(96vw,1100px)` (önceki: 780px)
+- Widget kart `border-radius: 8px` (önceki: 16px)
+- Buton `min-height: 36px` (önceki: 44px)
+- Service list `max-height: 420px` (önceki: 340px)
+- Bundle size budget `32 KB` (önceki: 24 KB) — service-metadata DB nedeniyle
+
+### Fixed
+- CDN URL `@v2` → jsDelivr semver tag desteği
+
+---
+
+## [2.0.0] — Unreleased
+
+### Architecture
+- **Modular source tree** under `src/` — split monolithic `cookie.js` into `core/`, `compliance/`, `i18n/`, `ui/`, `gating/`, `presets/`, `geo/`.
+- **Build pipeline** with esbuild — produces `dist/cookie.min.js`, `dist/cookie-defaults.min.js`, and tsup-built `cookie-next` package.
+- **Bundle size budget** — core ≤ 22 KB minified+gzip, enforced in CI.
+
+### Compliance (NEW)
+- Microsoft UET Consent Mode (Bing Ads, Clarity)
+- Yandex Metrica consent + Webvisor as separate `recording` category
+- IAB TCF v2.2 — `__tcfapi` global, TC string encoding, vendor list (preview mode until CMP ID assigned)
+- CCPA / CPRA — opt-out mode, USP string, "Do Not Sell" footer link, GPC respect
+- GPC (Global Privacy Control) — `navigator.globalPrivacyControl` auto-deny
+- DNT (Do Not Track) — opt-in respect mode
+- Jurisdiction detection (`GDPR` / `CCPA` / `LGPD` / `default`)
+
+### Tag-Gating (NEW)
+- `<script type="text/plain" data-blakfy-category="...">` automatic activation
+- `<iframe data-blakfy-src="..." data-blakfy-category="...">` placeholder UI
+- MutationObserver for SPA / dynamically added tags
+- Cookie & localStorage cleanup on consent withdrawal
+
+### Presets (NEW — 18 tools)
+- Google: Analytics 4, Tag Manager, Maps, reCAPTCHA
+- Meta: Facebook Pixel
+- Video: YouTube, Vimeo
+- Analytics: Hotjar, Microsoft Clarity, LinkedIn Insight, Yandex Metrica
+- Ads: Bing Ads (UET), TikTok Pixel, Pinterest Tag
+- Chat/CRM: Tawk.to, Intercom, HubSpot, Mailchimp
+
+### Public API Additions
+- `BlakfyCookie.onConsent(category, fn)` — category-specific callback
+- `BlakfyCookie.registerCleanup({ category, cookies, storage })`
+- `BlakfyCookie.unblock(category)`
+- `BlakfyCookie.scan()` — re-scan DOM after SPA navigation
+- `BlakfyCookie.usePreset(name)`
+- `BlakfyCookie.tcf.getTCString()`
+- `BlakfyCookie.ccpa.optOut()` / `isOptedOut()`
+- `BlakfyCookie.getJurisdiction()`
+- `window.__tcfapi(...)` IAB standard
+
+### Branding
+- "Powered by Blakfy Studio" badge — bottom-right, **non-removable**, anti-tampering protected (CSS `!important` + MutationObserver re-injection + code-baked HTML).
+
+### Security & Privacy Fixes
+- `makeHash()` device fingerprint **removed** → replaced with `crypto.randomUUID()` anonymous ID.
+- `renderStatus` innerHTML XSS vector → `textContent` + DOM construction.
+- Consent cookie `SameSite=Lax` → `SameSite=Strict`.
+- status.json fetch `@latest` → version-pinned `@2`.
+
+### Bug Fixes
+- **Re-consent storm fix:** v1 triggered re-consent on every `cookie.js` version bump (`cookie.js:494`). Now only `data-blakfy-version` (policy version) triggers re-consent.
+- TypeScript `BlakfyLocale` type expanded from 9 to 23 locales.
+- Next.js `BlakfyCookieProvider` now uses `next/script` `beforeInteractive` (no more FOUC).
+- `useBlakfyConsent` polling removed — event-driven now.
+
+### Documentation
+- AI-readable README with copy-paste install, scenario coverage (vanilla / Next.js / WordPress / GTM), full attribute & API tables.
+- `ARCHITECTURE.md`, `COMPLIANCE.md`, `TCF-CERTIFICATION.md`, `MIGRATION.md`.
+- Real `examples/nextjs/` Next 15 app.
+
+### Breaking Changes
+- None at API level — v1 contracts preserved.
+- `cookie.js` location: `https://cdn.jsdelivr.net/gh/tariktunc/blakfy-cookie@1/cookie.js` → `@2/dist/cookie.min.js`. v1 users unaffected; opt into `@2` for new features.
+
+---
+
+## [1.2.0] — 2026-04-30 (legacy)
+
+- Status bar via central `status.json` (CDN-hosted)
+- BCP47 locale detection (`zh-TW`, `pt-BR` etc.)
+- 23 languages
+
+## [1.0.0] — 2026-04-25
+
+- Initial release: Google Consent Mode v2, KVKK + GDPR + ePrivacy, 9 languages, vanilla JS, Next.js wrapper.

package/COMPLIANCE.md

@@ -0,0 +1,191 @@
+# Blakfy Cookie — Compliance Reference
+
+> Hangi yasa/motor/standart için ne yapıyoruz, hangi modül karşılıyor.
+
+---
+
+## 1. Compliance Matrisi
+
+| Yasa / Standart | Yetki Alanı | Modül | Durum (v2.0.0) |
+|---|---|---|---|
+| **GDPR** | AB | core + ui (eşit prominence butonlar, pre-tick yok) | ✅ |
+| **ePrivacy Directive** | AB | core (consent öncesi cookie konmaz) | ✅ |
+| **KVKK** | Türkiye | core/audit.js (Md.12 kanıt yükümlülüğü) | ✅ |
+| **CCPA / CPRA** | Kaliforniya, ABD | compliance/ccpa.js | ✅ |
+| **LGPD** | Brezilya | i18n/translations/pt.js + jurisdiction | ⚠️ (v2.1) |
+| **Google Consent Mode v2** | Google ekosistemi | compliance/google-cmv2.js | ✅ |
+| **Microsoft UET Consent Mode** | Bing Ads + Clarity | compliance/microsoft-uet.js | ✅ |
+| **Yandex Metrica Consent** | Yandex ekosistemi | compliance/yandex-metrica.js | ✅ |
+| **IAB TCF v2.2** | AB AdTech (AdSense/Ad Manager) | compliance/tcf-v2.js | ✅ kod + ⏳ sertifikasyon |
+| **GPC** (Global Privacy Control) | Tarayıcı standardı, CA yasal | compliance/gpc.js | ✅ |
+| **DNT** (Do Not Track) | Tarayıcı standardı | compliance/dnt.js | ✅ |
+
+---
+
+## 2. Google Consent Mode v2
+
+**Sinyal:**
+```js
+gtag('consent', 'update', {
+  ad_storage:              marketing  ? 'granted' : 'denied',
+  ad_user_data:            marketing  ? 'granted' : 'denied',
+  ad_personalization:      marketing  ? 'granted' : 'denied',
+  analytics_storage:       analytics  ? 'granted' : 'denied',
+  functionality_storage:   functional ? 'granted' : 'denied',
+  personalization_storage: functional ? 'granted' : 'denied',
+  security_storage:        'granted'
+});
+```
+
+**Bootstrap (cookie-defaults.min.js):**
+- Tüm sinyaller default `denied`
+- `wait_for_update: 500` ile GTM/GA4 cevap bekler
+- `gtag` global fonksiyonu yoksa stub kurulur
+
+---
+
+## 3. Microsoft UET Consent Mode
+
+**Sinyal:**
+```js
+window.uetq = window.uetq || [];
+window.uetq.push('consent', 'update', {
+  ad_storage: marketing ? 'granted' : 'denied'
+});
+```
+
+Bing Ads (UET tag) ve Microsoft Clarity bunu okur. v2.0.0 itibariyle Clarity zaten bu sinyali destekliyor.
+
+**Bootstrap:** `uetq` push queue stub kurulur, default `denied`.
+
+---
+
+## 4. Yandex Metrica Consent
+
+Yandex'in Google gibi standart bir consent API'si yok. Yaklaşımımız:
+
+- Onay yokken Metrica script'leri **engellenir** (gating layer).
+- Onay verilince `ym(counterId, 'init', {...})` çağrılır.
+- **Webvisor (session replay)** ekstra kategori — `marketing` değil, ayrı `recording` kategorisi olarak işaretlenir (KVKK/GDPR yorum farkı).
+- Cookie temizliği: `_ym_*`, `_ym_uid`, `_ym_d`, `_ym_isad`, `yabs-frequency`, `yandexuid`.
+
+---
+
+## 5. IAB TCF v2.2
+
+**Teknik kapsam (v2.0.0 ile gelen kod):**
+
+- `window.__tcfapi(command, version, callback, parameter)` global fonksiyonu (IAB standardı)
+- TC string encoding (Base64URL, vendor segments dahil)
+- Global Vendor List (GVL) fetch — `vendor-list.consensu.org/v3/vendor-list.json`
+- `getTCData`, `addEventListener`, `removeEventListener` komutları
+- `data-blakfy-cmp-id="0"` → preview/test mode
+
+**Sertifikasyon süreci (kullanıcı tarafı):**
+
+1. https://iabeurope.eu/cmp-list/ üzerinden başvuru
+2. Audit (kod + UI + DSAR/data subject request akışı incelenir)
+3. Annual fee (~€2.000)
+4. CMP ID atanır → `data-blakfy-cmp-id="123"` ile yazılır
+5. Onay öncesi widget "preview mode"da çalışır, onay sonrası prod
+
+⏱ Süreç 2-3 ay. Detay: [TCF-CERTIFICATION.md](./TCF-CERTIFICATION.md)
+
+---
+
+## 6. CCPA / CPRA
+
+**Kapsam:** Kaliforniya sakinleri için.
+
+**Tetiklenme:** `src/geo/jurisdiction.js` ABD/CA tespit ederse:
+- Banner "Reddet" yerine **"Do Not Sell or Share My Personal Information"** olarak değiştirilir.
+- Footer'a kalıcı `<a class="blakfy-ccpa-link">` eklenir (yasal zorunluluk).
+- `Sec-GPC: 1` header otomatik opt-out say.
+- USP string `1YYY` formatında set edilir (versiyon, opt-out, sale, third-party).
+
+**API:**
+```js
+BlakfyCookie.ccpa.optOut()
+BlakfyCookie.ccpa.isOptedOut()
+```
+
+---
+
+## 7. GPC (Global Privacy Control)
+
+`navigator.globalPrivacyControl === true` ise:
+- `marketing` ve `analytics` kategorileri **otomatik denied** (kullanıcı açık onay vermediyse)
+- CCPA jurisdiction'da yasal olarak zorunlu opt-out
+- GDPR jurisdiction'da rehberlik niteliğinde, biz default'ta saygı gösteriyoruz
+
+Override: `data-blakfy-gpc="ignore"` ile kapatılabilir (önerilmez).
+
+---
+
+## 8. DNT (Do Not Track)
+
+`navigator.doNotTrack === "1"` ise:
+- Default'ta **sadece UI'da işaret** (kullanıcı görsün, "GPC veya DNT etkin" yazısı)
+- `data-blakfy-dnt="auto-deny"` ile auto-deny opsiyonel
+
+DNT eski/zayıf bir standart, GPC tercih edilir.
+
+---
+
+## 9. Jurisdiction Tespiti
+
+`src/geo/jurisdiction.js` 3 strateji dener:
+
+1. **Cloudflare** `CF-IPCountry` header (server-rendered sites)
+2. **Server endpoint** `data-blakfy-geo-endpoint="/api/geo"` (opt-in)
+3. **Client-side fallback:** `Intl.DateTimeFormat().resolvedOptions().timeZone` → kaba bölge tahmini
+
+Sonuç: `"GDPR"` | `"CCPA"` | `"LGPD"` | `"default"`
+
+---
+
+## 10. Audit Log (KVKK Md.12 + GDPR Art.7(1))
+
+Her consent değişikliği `data-blakfy-audit-endpoint`'e POST edilir:
+
+```json
+{
+  "id": "uuid-v4-anonim-id",
+  "timestamp": "2026-04-30T12:00:00Z",
+  "action": "accept_all" | "reject_all" | "save_preferences",
+  "state": { ... },
+  "jurisdiction": "GDPR",
+  "userAgent": "...",
+  "url": "...",
+  "policyVersion": "1.0",
+  "blakfy": "2.0.0",
+  "tcString": "...",
+  "uspString": "..."
+}
+```
+
+**Anonim ID:** `crypto.randomUUID()` — fingerprint **değil** (v1'deki `makeHash()` kaldırıldı).
+
+---
+
+## 11. Kategori → Yasal Temel Eşlemesi
+
+| Kategori | GDPR Yasal Temel | KVKK | CCPA |
+|---|---|---|---|
+| `essential` | Art. 6(1)(b) — sözleşme/zorunluluk | Md.5(2)(c) | exempt |
+| `analytics` | Art. 6(1)(a) — açık rıza | Md.5(1) | optable |
+| `marketing` | Art. 6(1)(a) — açık rıza | Md.5(1) | optable + GPC saygısı |
+| `functional` | Art. 6(1)(a) — açık rıza | Md.5(1) | optable |
+| `recording` (Webvisor) | Art. 6(1)(a) — ek granular onay | Md.5(1) açık rıza | optable |
+
+---
+
+## 12. Test Kapsamı
+
+`tests/compliance/` altında her modül için ayrı test:
+- `google-cmv2.test.js` — gtag stub kurulumu, update sinyalleri
+- `microsoft-uet.test.js` — uetq queue, consent push
+- `yandex-metrica.test.js` — cookie engelleme, Webvisor ayrı kategori
+- `tcf-v2.test.js` — `__tcfapi` komut yüzeyi, TC string format
+- `ccpa.test.js` — USP string, DNT/GPC saygısı
+- `gpc.test.js` — auto-deny davranışı

package/LICENSE

@@ -0,0 +1,21 @@
+MIT License
+
+Copyright (c) 2026 Blakfy Studio
+
+Permission is hereby granted, free of charge, to any person obtaining a copy
+of this software and associated documentation files (the "Software"), to deal
+in the Software without restriction, including without limitation the rights
+to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+copies of the Software, and to permit persons to whom the Software is
+furnished to do so, subject to the following conditions:
+
+The above copyright notice and this permission notice shall be included in all
+copies or substantial portions of the Software.
+
+THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+SOFTWARE.

package/MIGRATION.md

@@ -0,0 +1,156 @@
+# Migration: v1 → v2
+
+> Kısa cevap: **Değişiklik yapmana gerek yok.** v1 kullanıcıları `@1` etiketinde kalır, çalışmaya devam eder. v2 yeni features için opt-in.
+
+---
+
+## v1'de kal — hiçbir şey değişmez
+
+```html
+<!-- Bu çalışmaya devam ediyor, kırılmıyor -->
+<script src="https://cdn.jsdelivr.net/gh/tariktunc/blakfy-cookie@1/cookie.js"
+        data-blakfy-locale="auto"
+        data-blakfy-policy-url="/cerez-politikasi"></script>
+```
+
+v1 son sürümü `1.2.0`'da donduruldu. Critical security patch çıkarsa `1.2.x` patch sürümleri devam edebilir.
+
+---
+
+## v2'ye geç — 1 satır değişiklik
+
+```diff
+- <script src="https://cdn.jsdelivr.net/gh/tariktunc/blakfy-cookie@1/cookie.js"
++ <script src="https://cdn.jsdelivr.net/gh/tariktunc/blakfy-cookie@v2/dist/cookie.min.js"
+          data-blakfy-locale="auto"
+          data-blakfy-policy-url="/cerez-politikasi"></script>
+```
+
+Tüm v1 attribute'ları çalışmaya devam eder, kullanıcı consent'i korunur (cookie formatı uyumlu).
+
+---
+
+## Yeni Özellikleri Aktif Et (opsiyonel)
+
+### Tag-gating
+```html
+<!-- 3rd-party script'leri sar -->
+<script type="text/plain"
+        data-blakfy-category="marketing"
+        data-blakfy-src="https://connect.facebook.net/en_US/fbevents.js"></script>
+```
+
+### Preset kullan
+```diff
+  <script src="...@2/dist/cookie.min.js"
+          data-blakfy-locale="auto"
++         data-blakfy-presets="ga4,gtm,facebook,clarity"></script>
+```
+
+### TCF v2.2
+```diff
++ <script ... data-blakfy-tcf="true" data-blakfy-cmp-id="0"></script>
+```
+(CMP ID `0` preview mode, sertifikasyon onayı sonrası gerçek ID girilir.)
+
+### CCPA
+```diff
++ <script ... data-blakfy-ccpa="auto"></script>
+```
+(Otomatik jurisdiction tespitiyle Kaliforniya kullanıcılarına "Do Not Sell" linki gösterilir.)
+
+---
+
+## Next.js (cookie-next) Migration
+
+### v1 (npm paketi yoktu, sadece GitHub'tan import)
+
+```tsx
+// Eski
+import { BlakfyCookieProvider } from "@blakfy/cookie-next";  // ham .tsx
+```
+
+### v2 (npm public paketi)
+
+```bash
+npm install @blakfy/cookie-next@2
+```
+
+```tsx
+// Yeni — TypeScript tipler genişledi (23 dil), yeni hook'lar var
+import {
+  BlakfyCookieProvider,
+  ConsentModeDefault,
+  useBlakfyConsent,
+  useGating,        // YENİ
+  useTcf,           // YENİ
+} from "@blakfy/cookie-next";
+```
+
+### Yeni hook örnekleri
+
+```tsx
+// Kategori-tabanlı koşullu render
+function YouTubeEmbed({ id }: { id: string }) {
+  const allowed = useGating("marketing");
+  if (!allowed) return <Placeholder />;
+  return <iframe src={`https://www.youtube.com/embed/${id}`} />;
+}
+```
+
+---
+
+## API Değişiklikleri
+
+| API | v1 | v2 | Not |
+|---|---|---|---|
+| `acceptAll/rejectAll/open` | ✅ | ✅ | aynı |
+| `getConsent/getState` | ✅ | ✅ | aynı |
+| `onChange` | ✅ | ✅ | aynı |
+| `setLocale` | 9 dil | 23 dil | TS tipi genişletildi |
+| `onConsent(cat, fn)` | ❌ | ✅ | YENİ |
+| `registerCleanup` | ❌ | ✅ | YENİ |
+| `unblock/scan/usePreset` | ❌ | ✅ | YENİ |
+| `tcf.*` | ❌ | ✅ | YENİ |
+| `ccpa.*` | ❌ | ✅ | YENİ |
+| `getJurisdiction` | ❌ | ✅ | YENİ |
+| `getMainLang` | ✅ | ✅ | aynı |
+
+---
+
+## Cookie Formatı
+
+v2 cookie formatı v1 ile **geriye uyumlu**. v1 cookie'si v2 tarafından okunur, eksik alanlar default değerlerle doldurulur.
+
+```js
+// v1 cookie örneği
+{ essential, analytics, marketing, functional, timestamp, version, blakfy, locale, hash }
+
+// v2 cookie örneği (eklemeler)
+{ ..., id (uuid), jurisdiction, tcString?, uspString?, mainLang? }
+```
+
+Eski `hash` alanı v2'de okunmaz ama silinmez (geri dönüş güvenliği).
+
+---
+
+## Re-consent Davranışı
+
+### v1 (BUG)
+`cookie.js` her sürüm güncellendiğinde **tüm kullanıcılar yeniden onay vermek zorundaydı**. Bu KVKK/GDPR uyumlu davranış değildi.
+
+### v2 (DÜZELDİ)
+Sadece `data-blakfy-version` (politika versiyonu) değişimi re-consent tetikler. `cookie.js` patch/minor güncellemeleri kullanıcıyı etkilemez.
+
+```js
+// v1
+if (s.version !== config.policyVersion || s.blakfy !== VERSION) return null;
+// v2
+if (s.version !== config.policyVersion) return null;
+```
+
+---
+
+## Soru / Sorun?
+
+GitHub Issues → https://github.com/tariktunc/blakfy-cookie/issues