Changelog

1.35.3 (2025-11-24)

Voor een volledig overzicht van alle commits, zie v1.35.3.

Deployment aandachtspunten

• De nieuwe omgevingsvariabele OIDC_FRONTEND_LOGOUT_WITH_HINTS (standaard: true) bepaalt of hints zoals id_token_hint en post_logout_redirect_uri worden meegegeven bij OIDC frontend logout redirects. Wanneer het ID token gevoelige claims bevat die niet in de querystring van de user agent mogen verschijnen (bijvoorbeeld voor security compliance), kan deze variabele op false worden gezet om alleen naar het logout endpoint te redirecten zonder aanvullende parameters.

Nieuwe features

• [#3596, PR 2036]: Hints (zoals id_token_hint en post_logout_redirect_uri) bij OIDC frontend logout zijn nu optioneel configureerbaar via de omgevingsvariabele OIDC_FRONTEND_LOGOUT_WITH_HINTS. Dit voorkomt dat gevoelige claims in de querystring van de user agent terechtkomen, wat belangrijk kan zijn voor security audits (zoals PENTests) van bijvoorbeeld DigiD. Standaard blijven de hints ingeschakeld om het huidige gedrag te behouden.

1.35.2 (2025-11-13)

Voor een volledig overzicht van alle commits, zie v1.35.2.

Onderhoud

• [PR 2014]: django bijgewerkt naar versie 4.2.26.

• [PR 2024]: brotli bijgewerkt naar versie 1.2.0.

Bugfixes

• [#dimpact-358, PR 2009]: Het alternatieve telefoonnummer wordt nu correct verwerkt vanuit de eSuite.

• [#3321, PR 2008]: Dubbele links in sitemap verwijderd.

1.35.1 (2025-10-29)

Voor een volledig overzicht van alle commits, zie v1.35.1.

Bugfixes

• [#3561, PR 1995]: CMS Categories plugin probeert nu niet meer om zaken op te halen wanneer er geen ZGW backend is geconfigureerd.

• [#2522:, PR 1969]: Zaken die niet volledig opgehaald kunnen worden uit het zaaksysteem worden nu gefilterd uit de zakenlijst om te voorkomen dat de gehele lijst van Mijn Zaken toegankelijk blijft.

• [#3494: PR 1955]: Verhelpen bug waardoor er sporadisch errors werden getoond tijdens het zoeken naar zaken via de algemene zoek-functie.

• [#3495: PR 1956]: Bij het aanmaken van contactmomenten onder een zaak in OpenKlant2 werd de zaak omschrijving als onderwerp gebruikt. Dit veld is in OpenKlant2 echter verplicht, en de omschrijving kan leeg zijn, hetgeen sporadisch tot errors leidde. We gebruiken nu de zaak identificatie en een standaard tekst, die altijd aanwezig is.

• [#3486: PR 1946]: Menu-items op pagina ‘Mijn Zaken’ worden niet langer dubbel getoond in de sidebar en het dropdownmenu.

• [#3480, PR 1934]: De paginering van de contactmomenten lijstweergave ontbrak, maar is nu toegevoegd.

• [#3477: PR 1935]: Wanneer er geen CMS-pagina’s zijn en het menu leeg is, dan wordt de zijnavigatie nu onzichtbaar, zodat de rest van de inhoud niet meer te smal wordt weergegeven.

• [#3483, PR 1937]: Typo’s in BRP API request headers verholpen (x-requets-* naar x-requests-*).

• [#3484]: De pagina voor contactmomenten crashte wanneer het contactformulier niet was geconfigureerd.

• [#3479: PR 1940]: Ongepubliceerde CMS pagina’s worden niet meer weergegeven in de zijnavigatie.

• [#3493: PR 1954]: Paginering op contactmomenten lijst wordt nu correct weergegeven.

• [#3497: PR 1958]: Het ophalen van vragen in Openklant geeft geen foutmeldingen meer als er ook anonieme vragen voorkomen in de backend.

• [#3519: PR 1966]: Probleem opgelost in de side menu waarbij de ‘mijn vragen’ item niet geselecteerd wordt als huidige pagina.

• [PR 1972]: Informatieobjecttpen die bij de ZGW synchronisatie niet kunnen worden opgehaald zullen worden overgeslagen, zodat de overgebleven objecten wel gesynchroniseerd kunnen worden.

• [#3525: PR 1978]: De positie van CMS-pagina’s bepaalt niet langer welke items worden weergegeven in het verkorte dropdown menu. Menu-items worden nu alleen getoond in het dropdown menu als er geen sidenav beschikbaar is en als ze expliciet zijn geconfigureerd (op dit moment alleen de link naar “Mijn Profiel”).

Onderhoud

• [PR 1980] Cache decorator ondersteunt kwargs met default argumenten, en maakt correct onderscheid tussen None en "None" waarden.

• [PR 1982] playwright (npm) bijgewerkt naar >=1.55.1.

• [#3557, PR 1987]: Ontbrekende verplichte velden toegevoegd aan de Subscription detail admin, waardoor het weer mogelijk is om nieuwe Subscription objecten aan te maken.

1.35.0 (2025-09-18)

Voor een volledig overzicht van alle commits, zie v1.35.0.

Deployment aandachtspunten

• Het zgw_dev_status management commando is verwijderd.

• Het contactformulier is omgezet naar een CMS pagina. Verifieer na deployment de beschrijvingen van het contactformulier.

Nieuwe features

• [#3370, PR 1888]: Navigatiemenu-items correct weergegeven op verschillende schermbreedtes; @gemeente-denhaag/side-navigation bijgewerkt naar 4.0.2, waardoor notificatiebadges in navigatiemenu-items de rode indicator niet meer tonen.

• [#3406, PR 1872]: Het contactformulier wordt omgezet in een CMS-pagina. In plaats van één beschrijving heeft het contactformulier nu twee beschrijvingen, één voor geauthenticeerde en één voor anonieme gebruikers. De oude beschrijving wordt naar beide nieuwe velden gekopieerd. Pas één of beide beschrijvingen naar behoefte aan.

• [PR 1901, #3447]: ID en abonnement status toegevoegd als alleen-lezen velden in de admin detailpagina van de Webhook abonnementen.

• [#3407, PR 1873]: De mogelijkheid voor admin gebruikers om een custom Javascript bestand te uploaden dat automatisch op alle pagina’s van de website wordt geladen. Deze functionaliteit wordt gecontroleerd door de ALLOW_CUSTOM_JS environment variabele die op deployment niveau moet worden ingesteld.

• [#3317, PR 1890]: Er is een nieuwe flag toegevoegd op de ZGW API sets (ZGWApiGroupConfig) om, bij het opvragen van zaken, gebruik te maken van de rol__betrokkeneIdentificatie__nietNatuurlijkPersoon__kvkNummer en rol__betrokkeneIdentificatie__nietNatuurlijkPersoon__vestigingsNummer query parameters, die sinds Open Zaak 1.20 beschikbaar zijn, in plaats van rol__betrokkeneIdentificatie__vestiging__vestigingsNummer en rol__betrokkeneIdentificatie__nietNatuurlijkPersoon__innNnpId. Deze flag staat standaard uit en moet expliciet aangezet worden voor een specifieke API set in het beheerscherm. Zie de documentatie onder “Open Zaak” voor verdere informatie.

• [#3816, PR 1865]: Het e-mailverificatiebericht voor nieuwe gebruikers is nu configureerbaar.

• [#2942, PR 1896, PR 1924]: Er zijn nieuwe rechten toegevoegd waarmee gebruikers uitsluitend op specifieke subsets van de Algemene configuratie beheer-toegang kunnen ontvangen (kleuren, afbeeldingen, waarschuwingsbanner, paginateksten, helpteksten).

• [#3405, PR 1889, PR 1916] De documentatie is op verschillende punten bijgewerkt en verbeterd.

• [#3449, PR 1904]: Verbeterde logmelding voor mislukte API-services tijdens updates van gebruikersprofielen

Bugfixes

• [#3445, PR 1898]: De sjabloontag field_as_widget ging er onterecht vanuit dat het primaire argument een formulierveld was en veroorzaakte daardoor sporadisch fouten.

• [#3459: PR 1908]: Haal de CMS-pagina voor het contactformulier op basis van de sjabloon in plaats van de plug-in (zodat de pagina in de voettekst wordt gekoppeld zodra deze is aangemaakt).

• [#3377, PR 1917]: De static/bundles/images map wordt nu correct opgebouwd in de Docker container, waardoor o.m. marker-icon.png bestanden correct ontsloten worden.

• [#3466, PR 1922]: De bitnami images in CI en docker-compose zijn vervangen met de officiële Elasticsearch images.

• [#3460, #3449, PR 1904]: Het indienen van lege tekstwaarden tijdens het bijwerken van het profiel, wat leidde tot fouten in eSuite klant, is opgelost.

• [PR 1919] De docker-compose variabelen voor de Elasticsearch verbinding gebruiken nu de verplichte, volledig gekwalificeerde versie van de URL.

Onderhoud

• [#3465, PR 1919] Het Docker start script ondersteunt optioneel het kopieren van static files naar een daarvoor aangewezen volume.

• [CVE-2024-53899, PR 1892] virtualenv bijgewerkt naar versie 20.34.0.

• [PR 1897] Het legacy management commando zgw_dev_status is verwijderd, alsmede legacy code voor het beheren van een “default” ZGW API Group.

• [CVE-2024-47081, CVE-2024-35195, PR 1905] requests bijgewerkt naar versie 2.32.5.

• [CVE-2024-37891, CVE-2024-35195, PR 1905] urllib3 bijgewerkt naar versie 2.5.0.

• [PR 1905] vcrpy bijgewerkt naar versie 7.0.0.

• [PR 1918]: maykin-2fa bijgewerkt naar versie 1.0.2.

• [PR 1907, PR 1915, CVE-2025-7783]: inline-css verwijderd en form-data override bijgewerkt om CVE-2025-7783 te mitigeren.

1.34.0 (2025-09-03)

Voor een volledig overzicht van alle commits, zie v1.34.0.

Nieuwe features

• [#3368, PR 1839]: Een anoniem ingevuld contactformulier wordt nu ook in de OpenKlant2 backend opgeslagen.

• [#3370, PR 1837, PR 1869]: Het navigatiemenu is nu conform het NL Design System op de meeste pagina’s aan de linkerkant van het scherm geplaatst. Sommige detailpagina’s behouden voorlopig het dropdownmenu in afwachting van nieuwe designs.

Bugfixes

• [#3396, #3395, PR 1852, PR 1853]: Verschillende problemen bij het ophalen van contactmomenten uit OpenKlant2 zijn opgelost.

• [#3389, PR 1845]: De synchronisatie van gebruikersprofielen met OpenKlant gebeurt nu ook direct na registratie, niet alleen na inloggen.

• [#3375, PR 1868]: Correct afbreken van lange woorden en e-mailadressen in smalle tegels, zoals bij productlocaties.

• [#dimpact-297, PR 1866]: Het verwijderen van websites en het toevoegen van sites naast de primaire website wordt voorkomen.

Onderhoud

• [#3393, PR 1871]: Kleine tekstuele verbeteringen zijn doorgevoerd om de teksten B1-conform te maken.

• [PR 1878]: Aanpassen pipeline for het bijhouden en publiceren van de changelog op de documentatie pagina.

• [PR 1884]: django-setup-configuration bijgewerkt naar versie 0.9.0. Hiermee ondersteunt Open Inwoner het verwijzen naar environment variables in de setup configuration YAML bestanden.

• [PR 1886, CVE-2025-57833]: django bijgewerkt naar versie 4.2.24, waarmee een beveiligingsissue met severity “high” wordt opgelost.