Для встраивания видео с YouTube в приложение с использованием Spring, можно использовать YouTube Data API для получения информации о видео (например, ID видео) и затем использовать эту информацию для отображения видео на странице вашего приложения.
Что касается ограничений при использовании iframe для встраивания видео с YouTube, одним из наиболее распространенных ограничений является механизм Content Security Policy (CSP), который запрещает загрузку контента с других доменов. Для обхода этого ограничения можно использовать YouTube Player API, который позволяет загружать видео непосредственно через JavaScript.
Чтобы обеспечить безопасность при встраивании видео с YouTube, можно использовать Spring Security для установки правил безопасности. Например, можно настроить CSRF (Cross-Site Request Forgery) защиту, чтобы защитить ваше приложение от атак на CSRF.
Кроме того, можно установить правила Content Security Policy в настройках Spring Security, чтобы контролировать загрузку ресурсов с других доменов и предотвратить потенциальные уязвимости.
Таким образом, используя сочетание YouTube Data API, YouTube Player API и настройки Spring Security, можно корректно встраивать видео с YouTube в приложение и обеспечить безопасность при этом.