サードパーティのコンテンツエディタで使用できる軽量の「ドロップイン」ウィジェットスタイルで動的コンテンツを提供するためのベストプラクティスは何か疑問に思っています。
詳細を説明すると、サードパーティに、APIサーバー側の1つを呼び出す必要があるバックエンドシステム統合なしで、Webサイトに動的コンテンツを表示する機能を提供したいと思います。理想的には、コンテンツエディターは単純に可能です。提供されたスニピットをHTMLに含めます。具体的な例は、数時間ごとに変わるベストセラーリストです。
IFRAMEを使用することは、これを達成するための1つの明白な方法ですが、ソースへのより緊密な統合とより柔軟なスタイリングを可能にし、フィールドではないため、そのようなオファリングの「期待されるベストプラクティス」である他の方法があるかどうか興味があります。よく知っている-JavaScript/JSONはおそらく?
フレーム化されたコンテンツに過剰な権限が付与されないため、iframeのベストプラクティスと呼びますが、他のサイトに含めることができるJavaScriptファイルもかなり一般的であるように思われるため、多くのサイト所有者にそれを受け入れてもらうことができます。それでも、iframeの方が望ましいので、実際に違いがない限り、JavaScriptを使用しないでください。
リンク内のパラメーターを使用して、フレーム化するページを簡単に構成できるため、サイト所有者は、背景やフォントなどを自分のサイトに一致するように設定できます。
iFrameの代替:JSONP
JSONPは同一生成元の問題を回避するため、Javascriptウィジェットライブラリがウィジェットライブラリのサーバーからデータを取得するために使用します。
これにより、JSウィジェットライブラリは、ホスティングページのサーバーに変更を加えることなく、ホスティングページにデータとUIサービスを提供できます。
クリーンできれいで、さまざまなiframeの問題を回避します。
他の回答で述べられているように、ページにJSを含めている人は誰でも、JSがセキュリティ/プライバシーの問題ではないと信頼しています。しかし、それはあなたの図書館を含む人々とのあなたの関係によっては問題ではありません。
潜在的なセキュリティPandoraのボックスを開いていることに注意してください。Cajaプロジェクトを見てください。これにより、信頼できないJavaScriptコンテンツを安全に埋め込むことができます。