Предоставление ссылки JavaScript для встраивания контента

Question

Я пишу от имени YSTV ; мы ищем варианты вставки для наших видео, и у меня есть быстрый вопрос.

Мы, очевидно, можем предоставить код для встраивания пользователям, таким как

<embed height="360" width="480" flashvars="backcolor=0xffffff&amp;autostart=false&amp;file=http://ystv.york.ac.uk/static/videos.php?file=1040&amp;autoscroll=false&amp;displayheight=360&amp;width=480&amp;height=360&amp;type=video&amp" allowfullscreen="true" quality="high" name="ystvplayer" src="http://ystv.york.ac.uk/static/flash/mediaplayer4.swf" type="application/x-shockwave-flash" />

Это то, что делает каждый (хорошо, не каждый , но подавляющее большинство) сайт для обмена видео (YouTube, Break, Vimeo и т. Д.).

Однако кто-то указал, что мы могли бы также предоставить ссылку для вставки JavaScript следующим образом:

<script type="text/javascript" src="http://full.path/to/embed.js"></script>

Где embed.js содержит

document.write('EMBED_TAG_PROVIDED_ABOVE');

В чем недостаток опции встраивания JS? Преимущество очевидно, это более приятный URL для пользователя, меньше символов для размещения на его сайте. Я беспокоюсь о безопасности здесь, как человек, который не знает JavaScript; это по своей сути небезопасный способ делать вещи? И если URL-адрес JavaScript в порядке, почему ни один из известных сайтов не делает этого?

Приветствия

Alex

Answer 1

Google использует аналогичный метод для включения своего кода Google Analytics, поэтому, если бы возникла проблема безопасности, люди бы об этом не знали раньше.

Люди, использующие NoScript (должны), знают, что они делают, поэтому смогут разрешить это, если захотят просмотреть видео. Тот факт, что JS относится к академической сфере Великобритании, вероятно, будет выгоден вам.

Что касается настройки, из приведенного выше кода я вижу, что вы передаете видео через php-файл, которому передается идентификатор. Я предполагаю, что вы бы обслуживали файл embed.js таким же образом, передавая идентификатор видео в URL и переписывая сторону файлового сервера для получения правильного кода встраивания в document.write. Если это так, то нет никаких причин, по которым вы не можете передавать другие переменные, чтобы разрешить настройку игрока.

Answer 2

Может быть включен Noscript (плагин Firefox), который блокирует все JS на странице. Кроме этого нет большого недостатка к этому. В настоящее время многие JS-файлы извлекаются за пределы сайта для целей CDN и т. Д. Он не менее безопасен, чем любой другой работающий JavaScript.

Недостатком является то, что вы не можете настроить также. Скажем, я хотел уменьшить его или увеличить. Я не могу получить в VARS с document.write (). Я использовал этот метод в прошлом, и он отлично работал для меня.