Встраивание YouTube, SoundCloud и других сервисов в комментарии

Что нового

Люди любят делиться видео или треком в обсуждениях. До сих пор вставка кода встраивания YouTube или SoundCloud в комментарий не давала результата. Исходный <iframe> был удалён из соображений безопасности, или он оборачивался в блок кода.

Теперь вы можете включить встраивание медиа для вашего сайта. Когда это включено, комментатор может вставить код встраивания напрямую от провайдера, и он отображается в строке, так же, как на любой другой странице.

Вот пример кода, который люди копируют с кнопки "Поделиться" или "Встроить":

Вставьте это в комментарий с включёнными встраиваниями, и вы получите настоящий плеер.

Только доверенные провайдеры

Позволять произвольные iframes на вашей странице — это реальный риск безопасности, поэтому мы не просто открыли ворота. Встраивания ограничены встроенным списком доверенных провайдеров, включая YouTube, Vimeo, SoundCloud, Spotify, Bandcamp, Twitch и Dailymotion.

Если комментарий содержит iframe, указывающий на что-то другое, iframe удаляется при сохранении комментария. Та же санитация, которая защищает от <script> тегов и трюков с onload=, по-прежнему выполняется для каждого комментария. Встраивания — это просто дополнительное, тщательно ограниченное разрешение сверхуам.

Добавление своих провайдеров

Если вы используете провайдера, которого нет в встроенном списке, вы можете его разрешить. Существует поле "Дополнительные домены для встраивания", где вы можете указать дополнительные имена хостов для доверия, помимо встроенных провайдеров.

Сопоставление происходит по точному имени хоста, поэтому добавьте полный хост, с которого загружается встраивание, например player.example.com. Всё, что вы не укажете, останется заблокированным.

Как это включить

Это настройка для каждого сайта на странице настройки виджета, прямо рядом с опциями загрузки изображения. Установите флажок "Разрешить медиа-встраивания?" и сохраните. Код или повторная развертка не требуются.

Как и в других настройках содержимого, это правило настройки индивидуально, поэтому вы можете включить встраивания на одном сайте или в одном наборе страниц и оставить их отключенными в других местах.

Работает в обоих редакторах

Вставка работает как в обычном поле комментариев, так и в WYSIWYG-редакторе. В обычном поле код встраивания вставляется как текст и становится плеером после отправки. В WYSIWYG-редакторе встраивание отображается сразу в виде блока с маленькой кнопкой удаления в углу, чтобы его было легко удалить, если это была ошибка.

В заключение

Встраивания отключены по умолчанию, поэтому ничего не меняется на вашем сайте, если вы не решите их включить. Когда вы это сделаете, ваши комментаторы получат более удобный способ делиться видео и треками, а вы сохранили те же гарантии безопасности, которые у вас уже были.

Включите это, вставьте видео и дайте нам знать, что вы об этом думаете ниже.

С наилучшими пожеланиями!