提供嵌入內容的JavaScript鏈接

Question

我在代寫YSTV;我們正在爲我們的視頻提供嵌入選項，並且我有一個快速問題。

我們可以明顯地提供嵌入代碼到用戶如

<embed height="360" width="480" flashvars="backcolor=0xffffff&amp;autostart=false&amp;file=http://ystv.york.ac.uk/static/videos.php?file=1040&amp;autoscroll=false&amp;displayheight=360&amp;width=480&amp;height=360&amp;type=video&amp" allowfullscreen="true" quality="high" name="ystvplayer" src="http://ystv.york.ac.uk/static/flash/mediaplayer4.swf" type="application/x-shockwave-flash" />

這是每一個（好了，不每，但絕大多數）的視頻共享網站做（YouTube上，休息， Vimeo等）。

然而，有人在指出，我們還可以提供一個使用JavaScript嵌入鏈接如下：

<script type="text/javascript" src="http://full.path/to/embed.js"></script> 

凡embed.js包含

document.write('EMBED_TAG_PROVIDED_ABOVE'); 

什麼是JS嵌入選項的缺點？優勢很明顯，對用戶來說這是一個更好的網址，放置在他們網站的字符更少。我擔心這裏的安全問題，因爲有人不懂JavaScript;這是一種內在不安全的做事方式嗎？如果JavaScript的URL很好，那麼這些知名網站怎麼沒有做到這一點？

乾杯，

亞歷

Answer 1

Google使用類似的方法來包含他們的Google Analytics代碼，因此如果出現安全問題，人們以前可能會對此提出疑問。

使用NoScript的人（應該）知道他們在做什麼，所以如果他們想要查看視頻就能夠允許它。 JS來自英國學術領域的事實可能會對你有利。

至於定製，從你的上面的代碼，我看到你通過傳遞一個ID的PHP文件服務視頻。我假設你會以同樣的方式爲embed.js文件提供服務，在URL中傳遞視頻ID並重寫文件服務器端以在document.write中生成正確的嵌入代碼。如果是這樣，沒有理由不能通過其他變量來允許玩家定製。

Answer 2

的NoScript（Firefox插件）可以在，這將阻止所有的JS在頁面上。除此之外，它沒有太多的缺點。現在，很多JS文件都被CDN用於非現場等等。它比任何其他的JavaScript運行都安全。

缺點是你不能自定義。說我想縮小它，或者擴大它。我無法使用document.write（）獲取變量。我過去使用過這種方法，對我來說工作得很好。