我想知道在第三方内容编辑器可以使用的轻量级“插入式”小部件样式中提供动态内容的最佳实践是什么。
详细地说,我们希望第三方能够在他们的网站上显示我们的动态内容,而无需后端系统集成,他们必须调用我们的 API 服务器端之一——理想情况下,他们的内容编辑器可以简单地在他们的 HTML 中包含提供的代码段。一个具体的例子是每隔几个小时更改一次的畅销书列表。
使用 IFRAME 是实现此目的的一种明显方法,但我很好奇是否还有其他方法可以更紧密地集成到其源代码中并提供更灵活的样式,并且是此类产品的“预期最佳实践”,因为它不是我的一个领域很清楚 - 也许是 JavaScript/JSON?
我称之为 iframe 最佳实践,因为它不会授予框架内容任何多余的权利,但是拥有其他网站可以包含的 JavaScript 文件似乎也很常见,因此您可能会让很多网站所有者接受这一点。尽管如此,iframe 还是更可取的,除非它确实有所作为,否则您不应该使用 JavaScript。
您可以通过链接中的参数轻松地使待 iframed 页面可配置,因此网站所有者可以设置背景和字体等内容以匹配他们自己的网站。
iFrame 的替代方案:JSONP
Javascript 小部件库使用 JSONP 从小部件库的服务器中提取数据,因为 JSONP 解决了同源问题。
这使您的 JS 小部件库能够为托管页面提供数据和 UI 服务,而无需对托管页面的服务器进行任何更改。
它干净、整洁,并且避免了各种 iframe 问题。
正如其他答案中提到的,任何人在他们的页面中包括您的 JS 都相信您的 JS 不是安全/隐私问题。但这不是问题,这取决于您与包含您的图书馆的人的关系。
请注意,您正在打开一个潜在的安全潘多拉魔盒。看看Caja项目,它允许安全地嵌入不受信任的 JavaScript 内容。