提供嵌入内容的JavaScript链接

Question

我在代写YSTV;我们正在为我们的视频提供嵌入选项，并且我有一个快速问题。

我们可以明显地提供嵌入代码到用户如

<embed height="360" width="480" flashvars="backcolor=0xffffff&amp;autostart=false&amp;file=http://ystv.york.ac.uk/static/videos.php?file=1040&amp;autoscroll=false&amp;displayheight=360&amp;width=480&amp;height=360&amp;type=video&amp" allowfullscreen="true" quality="high" name="ystvplayer" src="http://ystv.york.ac.uk/static/flash/mediaplayer4.swf" type="application/x-shockwave-flash" />

这是每一个（好了，不每，但绝大多数）的视频共享网站做（YouTube上，休息， Vimeo等）。

然而，有人在指出，我们还可以提供一个使用JavaScript嵌入链接如下：

<script type="text/javascript" src="http://full.path/to/embed.js"></script> 

凡embed.js包含

document.write('EMBED_TAG_PROVIDED_ABOVE'); 

什么是JS嵌入选项的缺点？优势很明显，对用户来说这是一个更好的网址，放置在他们网站的字符更少。我担心这里的安全问题，因为有人不懂JavaScript;这是一种内在不安全的做事方式吗？如果JavaScript的URL很好，那么这些知名网站怎么没有做到这一点？

干杯，

亚历

Answer 1

Google使用类似的方法来包含他们的Google Analytics代码，因此如果出现安全问题，人们以前可能会对此提出疑问。

使用NoScript的人（应该）知道他们在做什么，所以如果他们想要查看视频就能够允许它。 JS来自英国学术领域的事实可能会对你有利。

至于定制，从你的上面的代码，我看到你通过传递一个ID的PHP文件服务视频。我假设你会以同样的方式为embed.js文件提供服务，在URL中传递视频ID并重写文件服务器端以在document.write中生成正确的嵌入代码。如果是这样，没有理由不能通过其他变量来允许玩家定制。

Answer 2

的NoScript（Firefox插件）可以在，这将阻止所有的JS在页面上。除此之外，它没有太多的缺点。现在，很多JS文件都被CDN用于非现场等等。它比任何其他的JavaScript运行都安全。

缺点是你不能自定义。说我想缩小它，或者扩大它。我无法使用document.write（）获取变量。我过去使用过这种方法，对我来说工作得很好。