9
oEmbedプロバイダのエンドポイントには、すべてではないにしてもほとんどの場合、CORSが有効になっていないようです。これは、JSONPをサポートしているユーザーにはJSONPを使用するか、oEmbedを使用するにはサーバープロキシを経由する必要があることを意味します。多くのoEmbedプロバイダが、エンドポイントでクロスドメインリソース共有を有効にしないのはなぜですか?
サードパーティのプロバイダからJSONPを使用することに対する企業方針がありますが、依然として純粋なクライアントサイドの方法(私たちが信頼する特定のプロバイダ向け)でoEmbedを活用したいと考えています。私はoEmbedの消費者のセキュリティの意味を理解しています。なぜサードパーティ製のマークアップをページに直接許可したくないのでしょうか?サーバープロキシを構築して結果をフィルタリングしなかった場合、XSSの脆弱性を簡単に持つことができます。
である。彼らがやりたかった。 Slideshareは、CORSを無効にしたAPIを提供しているため、ほとんど役に立たなくなっています。 – Jaseem
プロバイダーのリソースへのリンクを持つ他のサイトがそれを使用できない場合、最初にそれを持っている点は何ですか?それが内部使用のためのものであれば、oEmbed.com上でそれをサポートしているとはみなさないでください。 – Gunchars