Bug Fix 3.3.9.p2¶

È stata introdotta una politica di generazione automatica degli header HTTP indicati di seguito, se non ritornati dal backend che implementa l’API, con lo scopo di evitare alcune vulnerabilità a cui possono essere soggette le implementazioni delle API:

• X-Content-Type-Options: nosniff

• Cache-Control: no-cache, no-store, must-revalidate

  Pragma: no-cache

  Expires: 0

  Vary: *

  Nota

  Il caching viene disabilitato per evitare che delle risposte vengano inopportunamente messe in cache, come indicato nelle Linee Guida - raccomandazioni tecniche per REST “RAC_REST_NAME_010”. Il mancato rispetto di questa raccomandazione può portare all’esposizione accidentale di dati personali.

Per la console di gestione sono stati risolti i seguenti bug:

• l’aggiornamento dell’interfaccia OpenAPI o WSDL di una API provocava un errore non atteso. Dal log si poteva riscontrare il bug introdotto con la gestione delle vulnerabilità di tipo CSRF nella versione 3.3.9.p1: “Parametro [_csrf] Duplicato”.