Fournir un lien JavaScript pour incorporer du contenu

Question

J'écris au nom de YSTV; nous cherchons à proposer des options d'intégration pour nos vidéos, et j'ai une petite question.

Nous ne pouvons évidemment fournir le code embed aux utilisateurs tels que

<embed height="360" width="480" flashvars="backcolor=0xffffff&amp;autostart=false&amp;file=http://ystv.york.ac.uk/static/videos.php?file=1040&amp;autoscroll=false&amp;displayheight=360&amp;width=480&amp;height=360&amp;type=video&amp" allowfullscreen="true" quality="high" name="ystvplayer" src="http://ystv.york.ac.uk/static/flash/mediaplayer4.swf" type="application/x-shockwave-flash" />

qui est ce que tout (ok, donc pas tous, mais la grande majorité) site de partage vidéo fait (YouTube, Break, Vimeo etc.).

Cependant, quelqu'un a fait remarquer que nous pourrions fournir également un lien embed JavaScript comme suit:

<script type="text/javascript" src="http://full.path/to/embed.js"></script> 

Où embed.js contient

document.write('EMBED_TAG_PROVIDED_ABOVE'); 

Quel est l'inconvénient de l'option embed JS? L'avantage est évident, c'est une URL plus agréable pour l'utilisateur, moins de caractères à placer sur son site. Je m'inquiète pour la sécurité ici, en tant que quelqu'un qui ne connaît pas JavaScript; Est-ce une façon intrinsèquement non sécuritaire de faire les choses? Et si l'URL JavaScript est correcte, comment se fait-il qu'aucun des sites les plus connus ne le fasse?

Cheers,

Alex

Answer 1

Google utilise une méthode similaire pour inclure son code Analytics, donc s'il y avait un problème de sécurité, les gens en auraient déjà parlé.

Les personnes utilisant NoScript (devraient) savent ce qu'elles font, donc elles pourront l'autoriser si elles veulent voir la vidéo. Le fait que le JS soit issu d'un domaine académique britannique vous sera probablement favorable. En ce qui concerne la personnalisation, à partir de votre code ci-dessus, je vois que vous servez les vidéos via un fichier php qui est passé un ID. Je suppose que vous serviriez le fichier embed.js de la même manière, en passant l'identifiant de la vidéo dans l'URL et en réécrivant le côté serveur de fichiers pour produire le code d'intégration correct dans le fichier document.write. Si c'est le cas, il n'y a aucune raison pour laquelle vous ne pouvez pas passer d'autres variables pour permettre la personnalisation du lecteur.

Answer 2

Noscript (plug-in Firefox) pourrait être sur, qui bloquerait toute la JS sur la page. A part cela, il n'y a pas beaucoup d'inconvénients. Ces jours-ci, beaucoup de fichiers JS sont retirés hors site à des fins CDN, etc. Ce n'est pas moins sûr que tout autre javascript en cours d'exécution. L'inconvénient est que vous ne pouvez pas personnaliser aussi bien. Dire que je voulais le rétrécir, ou le rendre plus grand. Je ne peux pas obtenir au vars avec document.write(). J'ai utilisé cette méthode dans le passé et ça a bien fonctionné pour moi.