我想知道在第三方内容编辑器可以使用的轻量级“下拉”窗口小部件样式中提供动态内容的最佳做法是什么。
详细说明,我们希望第三方能够在他们的网站上显示我们的动态内容,而无需后端系统集成,他们必须调用我们的API服务器端 - 理想情况下,他们可以内容编辑器只是在其HTML中包含提供的snippit。一个具体的例子是畅销书列表,每隔几个小时就会改变一次。
使用IFRAME是实现这一目标的一种显而易见的方法,但我很好奇是否有其他人允许更紧密地集成到他们的来源和更灵活的样式,并且是这种产品的“预期最佳实践”,因为它不是我熟悉的领域 - 也许是JavaScript / JSON?
答案 0 :(得分:3)
我会调用iframe最佳做法,因为它不会授予框架内容任何多余的权限,但拥有其他网站可以包含的JavaScript文件似乎也很常见,所以你可能会得到很多网站所有者接受。尽管如此,iframe更可取,你不应该使用JavaScript,除非它确实有所作为。
您可以轻松地通过链接中的参数配置要设置的页面,因此网站所有者可以设置背景和字体等内容以匹配自己的网站。
答案 1 :(得分:1)
替代iFrame:JSONP
JSONP被Javascript小部件库用于从小部件库的服务器中提取数据,因为JSONP解决了同源问题。这使您的JS小部件库能够为托管页面提供数据和UI服务,而无需对托管页面的服务器进行任何更改。
干净整洁,避免各种iframe问题。
正如其他答案中所提到的,在他们的页面中包括您的JS的任何人都相信您的JS不是安全/隐私问题。但这不是问题,取决于你与那些包含你的图书馆的人的关系。
答案 2 :(得分:0)
请注意,您正在打开一个潜在的安全潘多拉盒子。看一下Caja项目,它可以安全地嵌入不受信任的JavaScript内容。