Twilio implémente le Header HTTP Content-Security-Policy

Twilio implémente le Header HTTP Content-Security-Policy

Twilio a peremttait aux utilisateurs de charger les pages Web https://twilio.com dans un iframe HTML. Pour améliorer la sécurité de nos services et sécuriser nos clients, nous instaurons la directive frame-ancestors de la politique de sécurité du contenu sur l'ensemble du site https://www.twilio.com.

Pourquoi faisons-nous cela ?

Twilio prend la sécurité de ses clients au sérieux et nous travaillons constamment à améliorer notre stratégie de sécurité. La politique de sécurité du contenu fournit plusieurs directives qui peuvent être utilisées pour améliorer la sécurité. Nous commençons par les frame-ancestors qui nous permettent de mieux protéger nos clients contre les attaques Web telles que clickjacking.

Qu'est-ce qui change avec la politique de sécurité du contenu de Twilio ?

Sur twilio.com, vous verrez un nouvel en-tête de réponse HTTP appelé Content-Security-Policy qui bloquera toutes les tentatives de chargement de twilio.com par des sites tiers dans un iframe HTML ou toute autre méthodologie de cadrage Web.

Que dois-je faire ?

Si vous chargez actuellement les pages Web de twilio.com dans un cadre sur votre propre site, vous devrez arrêter cette pratique. L'utilisation d'iframes et d'autres trames de contenu Web ne fonctionne plus depuis le 24 mai 2021.

Foire aux questions

Nous sommes sûrs que vous avez des questions concernant ce changement. Vous trouverez ci-dessous quelques-unes des questions que vous pourriez avoir concernant notre nouvel en-tête HTTP.

Qu'est-ce qu'un cadre Web ?

Un cadre Web est un mécanisme permettant de charger du contenu externe sur votre propre page Web. L'emplacement le plus courant où les cadres Web sont utilisés est l'iframe, qui vous permet d'intégrer l'intégralité d'un autre site avec une balise HTML.

Qu'est-ce que la Content-Security-Policy ?

La Content-Security-Policy est un en-tête HTTP qui ajoute une couche de protection de sécurité contre les attaques Web bien connues. Pour plus d'informations, cliquez ici.

Que puis-je faire si je souhaite continuer à charger twilio.com dans un cadre Web ?

Malheureusement, si vous chargez un client en dehors du domaine twilio.com, vous ne pouvez pas charger twilio.com dans un cadre Web depuis le 24 mai 2021.

Vers une version plus sécurisée de twilio.com

Cette modification a pris effet le 24 mai 2021. Nous vous remercions d'être un partenaire dans l'amélioration de notre sécurité. Si vous avez des questions, veuillez nous contacter à l'adresse support@twilio.com.