Встраивайте YouTube, SoundCloud и многое другое в комментарии

Что нового

Люди любят делиться видео или треками в обсуждениях. До сих пор вставка в комментарий кода встраивания YouTube или SoundCloud не приводила к результату. Сырой <iframe> удалялся из соображений безопасности, или он оборачивался в блок кода.

Теперь вы можете включить встраивание медиа для вашего сайта. Когда это включено, комментатор может вставить код встраивания непосредственно от провайдера, и он отображается встроенным образом, так же как на любой другой странице.

Вот пример кода, который люди копируют с кнопки "Поделиться" или "Встроить":

Вставьте это в комментарий с включенными встраиваниями, и вы получите фактический плеер.

Только доверенные провайдеры

Разрешение произвольных iframe на вашей странице представляет собой реальный риск для безопасности, поэтому мы не просто открыли ворота. Встраивания ограничиваются встроенным списком доверенных провайдеров, включая YouTube, Vimeo, SoundCloud, Spotify, Bandcamp, Twitch и Dailymotion.

Если комментарий содержит iframe, указывающий на что-либо другое, iframe удаляется при сохранении комментария. Тот же процесс очистки, который защищает от <script> тегов и трюков onload=, все еще работает на каждом комментарии. Встраивания — это просто дополнительное, тщательно ограниченное разрешение поверх этого.

Добавление ваших провайдеров

Если вы используете провайдера, который не находится в встроенном списке, вы можете его разрешить. Есть поле "Дополнительные домены для встраивания", где вы указываете дополнительные доменные имена, которым можно доверять, помимо встроенных провайдеров.

Сопоставление происходит по точному доменному имени, поэтому добавьте полный хост, с которого загружается встраивание, например, player.example.com. Все, что вы не укажете, останется заблокированным.

Как это включить

Это настройка для каждого сайта на странице настройки виджета, прямо рядом с опциями загрузки изображений. Установите флажок "Разрешить встраивание медиа?" и сохраните. Код или повторное развертывание не требуются.

Как и с другими настройками контента, это правило настройки для каждого случая, так что вы можете включить встраивания на одном сайте или одной группе страниц и оставить их отключенными в другом месте.

Работает в обоих редакторах

Вставка работает как в обычном поле комментариев, так и в WYSIWYG-редакторе. В обычном поле код встраивания вставляется как текст и становится плеером при отправке. В WYSIWYG-редакторе встраивание сразу отображается как блок с небольшой кнопкой удаления в углу, так что его легко удалить, если это была ошибка.

В заключение

Встраивания по умолчанию отключены, поэтому ничего не меняется для вашего сайта, если вы не решите их включить. Когда вы это сделаете, ваши комментаторы получат более удобный способ делиться видео и треками, а вы сохраните те же гарантии безопасности, которые у вас уже были.

Включите это, вставьте видео и дайте нам знать, что вы об этом думаете ниже.

Удачи!