我的主要问题是,嵌入式小部件是否完全有必要位于 iframe 中?某些网站会出于任何原因拒绝它位于 iFrame 中的事实吗?你能给我什么样的提示?
顺便说一句,内容只是 javascript 和 html,没有视频,但可能是一些图像和倒计时到特定时间的 javascript。
我已经看过本教程在 Rails 中进行操作。我也在使用rails,尽管我认为这并不重要。http://www.doorkeeperhq.com/developer/embeddable-javascript-widget
如果您正在显示不受信任的数据,那么出于安全原因,您肯定会希望将其放在单独域的 iframe 中。特别是如果您在客户端中有任何类型的敏感信息可用,例如会话 cookie。
此外,您会希望它在 iframe 中,因为如果小部件中有任何错误,它将破坏整个页面。它可能非常糟糕,以至于用户无法删除或修复小部件。开发人员可能必须进入数据库并在那里删除它。
“just JavaScript”就足够了,绝不是“just JavaScript”。JavaScript 会偷走你的午餐并为此打你的肚子。XSS 几乎是您可能拥有的最可怕的安全漏洞之一。他们击败了像密码登录这样的一切,当你遇到 XSS 问题时,甚至两因素身份验证都是无用的。
因此,不仅要使用 iframe,还要将其托管在单独的域中。
您在使用 iframe 时遇到的问题可能取决于浏览器以及网站可能对 iframe 施加的安全限制。您可以将新的 HTML5 相关属性添加到 iframe 以限制其功能。
顺便说一句,如果您希望其他第三方在没有 iframe 的情况下在他们的网站上实现您的小部件,那要求太多了。