Get webhook notifications whenever Digitaliseringsdirektoratet creates an incident, updates an incident, resolves an incident or changes a component status.
Vi beklager. Dette varslet skulle gjelde ANSATTPORTEN. Det gjelder altså IKKE ID-porten.
Så se bort fra opprinnelig melding om endring mandag 11. mai i ID-porten.
Det vil si at det er ingen endring i valideringsregler ID-porten i produksjon 11. mai, men det vil komme på et seinere tidspunkt. Og det vil bli varslet.
Posted May 08, 2026 - 17:23 CEST
Scheduled
Mandag 11. mai kl 12:00 innfører vi følgende endringer i ID-porten:
Det innføres lengde- og mønstervalidiering av state-parameteren i OAuth 2.0 autorisasjonsforespørsler. Dette skal redusere risikoen for at autorisasjonssvar ikke kan leveres, noe som kan utnyttes som en angrepsvektor ved såkalte browser swap-angrep.
Det innføres validering av nonce-parameteren i OpenID-autentiseringsforespørsler. Lengden begrenses til maksimalt 128 tegn, og tillatte tegn begrenses til BASE64URL-tegnsettet og BASE64 settet pluss punktum ('.')
Bruk av < script > - tags i state-parameteren vil bli avvist.
Klientregistreringsendepunktet vil håndheve en maksimal lengde på 1024 tegn for metadatafeltene redirect_uris og post_logout_redirect_uris. Dette skal forhindre bruk av for lange URI-er som kan bli avvist av nettlesere eller mellomliggende infrastruktur når autorisasjonssvarparametere som iss og state legges til.