En effet l'intégration est unsafe, comme c'est malheureusement le cas avec pas mal de fournisseurs disponibles via la balise [media] (également implicitement utilisée sur les URL nues). C'est pour ça d'ailleurs que cette balise n'accepte qu'une whitelist et pas n'importe quel site, et je n'ai pas trop d'autre choix que de faire confiance à ceux qui sont disponibles puisqu'ils demandent souvent de pouvoir exécuter du code directement sur la page. C'est légitime quand ça sert à ce que affichage se fasse bien (ce qu'une iframe ne permet pas simplement, à ma connaissance), ça l'est bien sûr moins quand ça sert à injecter tout un tas de scripts dans la page.

La seule chose que je peux proposer, c'est de virer les fournisseurs qui "trichent" comme vimeo.