Zendesk n’autorise pas l’incorporation de Zendesk à un iframe à cause des risques de sécurité inhérents à l’incorporation d’une application Web à un iframe.

Le risque de sécurité, le détournement de clic, est une classe d’attaque qui utilise un élément iframe sur une page Web, superposée à un autre site Web.

Comme dans l’exemple décrit dans ce blog, les utilisateurs peuvent être persuadés qu’ils accèdent à un autre site Web alors qu’en fait, ils donnent accès au pirate à un site Web auxquels ils sont déjà connectés (leur compte bancaire en ligne par exemple).

Zendesk empêche l’incorporation de Zendesk à un iframe en définissant un en-tête HTTP (options X-Frame-options) sur SAMEORIGIN pour toutes les réponses de serveurs. Cette politique est entrée en vigueur le 30 juin 2013.