Das Release 7.30.0 Build 1200 wurde im September 2019 veröffentlicht. Dieses Release umfasst:
Schutz der Formulare aller Apps vor Cross-Site Request Forgery (CSRF)
Newsletter App 4.4.1
Verbesserungen in der Core Scripting Engine
Fehlerkorrekturen
Wichtige Hinweise
Zum Schutz vor Cross-Site Request Forgery (CSRF) muss ab jetzt bei jedem POST-, PUT- oder DELETE-Request an einen REST-Endpunkt (z.B. Newsletter App oder Kontaktformular) immer der Request-Header X-CSRF-Safe mitgesendet werden. Fehlt der Header, wird der Request mit 403 Access denied beantwortet.
Auf diese Weise wird verhindert, dass die REST-Endpunkte von einfachen HTML-Formularen auf Fremdseiten angesprochen werden können.
Folgende Apps müssen zusammen mit diesem Update des Universal Messenger zwingend auf die jeweils aktuelle Version aktualisiert werden:
Kontaktformular 3.3.1 oder 4.1.0
Veranstaltungsmanagement 3.6.2
ChangePassword 0.4.1
Auth2 4.4.0
Falls im Projekt einer dieser REST-Endpunkte direkt angesprochen wird, muss dort künftig folgender Header mitgesendet werden:
X-CSRF-Safe: yes
Neue Features und Funktionen
Core Scripting Engine
First Steps-Doku zur Implementierung eines REST-Endpunkts: REST Endpoint
Für die Bereitstellung von REST-Endpunkten mit Cross Origin Resource Sharing wurden neue Hilfsfunktionen bereitgestellt (siehe REST Controllers).
Für die automatische DB-Schemamigration in Plugins wurden mehrere neue Hilfsfunktionen zur Verfügung gestellt.
Fehlerkorrekturen
Die Newsletteran- und abmeldung im Cross-Site-Fall (Website mit Anmeldeformular und UM laufen auf unterschiedlichen Domains / Hosts / Ports) wurde repariert.