Get webhook notifications whenever Digitaliseringsdirektoratet creates an incident, updates an incident, resolves an incident or changes a component status.
ID-porten - innstramming av valideringsregler for authorize-kallet - 01.06.2026
Scheduled for Jun 1, 12:00 - 16:00 CEST
Scheduled
Mandag 1. juni kl 12:00 innfører vi følgende endringer i ID-porten i produksjonsmiljøet:
Det innføres lengde- og mønstervalidiering av state-parameteren i OAuth 2.0 autorisasjonsforespørsler. Dette skal redusere risikoen for at autorisasjonssvar ikke kan leveres, noe som kan utnyttes som en angrepsvektor ved såkalte browser swap-angrep.
Det innføres validering av nonce-parameteren i OpenID-autentiseringsforespørsler. Lengden begrenses til maksimalt 128 tegn, og tillatte tegn begrenses til BASE64URL-tegnsettet og BASE64 settet pluss punktum ('.')
Bruk av < script > - tags i state-parameteren vil bli avvist.
Klientregistreringsendepunktet vil håndheve en maksimal lengde på 1024 tegn for metadatafeltene redirect_uris og post_logout_redirect_uris. Dette skal forhindre bruk av for lange URI-er som kan bli avvist av nettlesere eller mellomliggende infrastruktur når autorisasjonssvarparametere som iss og state legges til.