Предоставление ссылки на JavaScript для встраивания содержания

Question

Я пишу от имени YSTV; мы смотрим на предоставление встроенных параметров для наших видео, и у меня есть быстрый вопрос.

Очевидно, можно предоставить код для таких пользователей, как

<embed height="360" width="480" flashvars="backcolor=0xffffff&amp;autostart=false&amp;file=http://ystv.york.ac.uk/static/videos.php?file=1040&amp;autoscroll=false&amp;displayheight=360&amp;width=480&amp;height=360&amp;type=video&amp" allowfullscreen="true" quality="high" name="ystvplayer" src="http://ystv.york.ac.uk/static/flash/mediaplayer4.swf" type="application/x-shockwave-flash" />

который что каждый (хорошо, так что не каждый, но подавляющее большинство) сайт обмена видео делает (YouTube, перерыв, Vimeo и т. Д.).

Однако кто-то отметил, что мы могли бы предоставить код вставки ссылку JavaScript следующим образом:

<script type="text/javascript" src="http://full.path/to/embed.js"></script> 

Где embed.js содержит

document.write('EMBED_TAG_PROVIDED_ABOVE'); 

В чем недостаток варианта JS вставлять? Преимущество очевидно, это более удобный URL-адрес для пользователя, меньше символов для размещения на своем сайте. Я беспокоюсь о безопасности здесь, как о ком-то, кто не знает JavaScript; это неотъемлемо небезопасный способ делать что-то? И если URL-адрес JavaScript в порядке, почему ни один из известных сайтов не делает этого?

Приветствия,

Alex

Answer 1

Google использует аналогичный метод для включения своего кода Google Analytics, поэтому, если бы существовала проблема безопасности, люди раньше бы об этом говорили.

Люди, использующие NoScript (должны) знать, что они делают, поэтому смогут разрешить, если они захотят просмотреть видео. Тот факт, что JS из академического домена Великобритании, вероятно, будет благоприятным для вас.

Что касается настройки, из приведенного выше кода я вижу, что вы обслуживаете видео через php-файл, которому передается идентификатор. Я предполагаю, что вы будете обслуживать файл embed.js таким же образом, передавая идентификатор видео в URL-адресе и перезаписывая сторону файлового сервера, чтобы создать правильный код для вставки в документе document.write. Если это так, нет причин, по которым вы не можете передавать другие переменные, чтобы разрешить настройку игрока.

Answer 2

NoScript (Firefox плагин) может быть, что будет блокировать все JS на этой странице. Помимо этого нет большого недостатка. В эти дни многие JS-файлы вытягиваются за пределы сайта для целей CDN и т. Д. Это не менее безопасно, чем любой другой javascript.

Недостатком является то, что вы также не можете настроить. Скажем, я хотел сжать его или увеличить. Я не могу попасть в vars с помощью document.write(). Я использовал этот метод в прошлом, и он отлично работает для меня.