Похоже, что большинство, если не все, конечные точки провайдера oEmbed не имеют включенного CORS. Это означает, что я должен использовать JSONP (для тех, кто его поддерживает) или проходить через серверный прокси, чтобы использовать oEmbed.
Существует корпоративная политика против использования JSONP от сторонних провайдеров, но я все еще хочу использовать oEmbed чисто клиентским способом (для определенных провайдеров, которым мы доверяем). Я понимаю последствия безопасности для ПОЛЬЗОВАТЕЛЯ oEmbed и почему он может не захотеть разрешить стороннюю разметку непосредственно на своих страницах, но зачем провайдерам ограничивать это? Я мог бы так же легко получить XSS-уязвимость, если бы создал серверный прокси и не отфильтровал результаты.