Quando l’introspection GraphQL è abilitata, è possibile interrogare un server GraphQL per ottenere informazioni sullo schema sottostante. Tipi, campi, query e mutation possono essere scoperti da utenti esterni, potenzialmente esponendo l’intero GraphQL Schema dell’applicazione. Questo rende l’applicazione vulnerabile a una serie di problemi di sicurezza. Sebbene dunque l’introspection GraphQL possa essere estremamente utile come strumento di scoperta e diagnostica durante lo sviluppo, è altamente consigliabile disabilitare questa funzione sulle Cloudlet di produzione.
Dalla Dashboard, cliccando sull’icona presente sull’header del pannello della Cloudlet è possibile accedere al pannello API & Public Urls.
In questo pannello è presente un pulsante accanto al testo Enable introspection. Se non ha apportato modifiche il pulsante è verde e si trova nello stato On, perché l’introspection del GraphQL Schema è abilitato di default.
Per disabilitare l’introspection GraphQL, clicca sul pulsante spostandolo su Off, come mostrato nell’immagine seguente.
