На моем веб-сайте есть проигрыватель YouTube, который использует API YouTube для создания iframe и выгрузки пустого div с помощью iframe. Это было определено как угроза безопасности, так как API youtube имеет размещенный снаружи код, а также имеет доступ к возможной личной информации на моем веб-сайте.
Предлагаемое решение - обернуть песочницу iframe вокруг iframe плеера YouTube (iframe внутри песочницы iframe). Это была действительно трудная тема для исследования, потому что YouTube уже использует iframe, поэтому результаты поиска размыты. Я не нашел ни одного случая, чтобы люди действительно делали это, но это кажется жизнеспособным решением.
Я думаю, что лучший способ продвинуться вперед - создать песочницу iframe, а затем использовать инъекцию javascript для внедрения api iframe youtube в песочницу iframe. Люди вообще так делают?
Другим возможным решением было бы загрузить api-код youtube player локально, чтобы он мог контролироваться моей компанией. Но проблемы заключаются в том, что YouTube может обновить свои API, и у меня не будет обновленного кода, поэтому я нарушу свой сайт.