Dans le cadre de notre démarche d’amélioration continue de la sécurité, une restriction CORS a été déployée à la suite d’un pentest. Ce changement vise à renforcer la protection de nos services contre les usages non sécurisés via des appels inter-domaines.

📌 Détail du changement :

• Mise en place d’une politique CORS restrictive sur nos API.
• Impact : Les appels fait depuis les front-end à notre API seront maintenant bloqué. Afin d'appeler notre API, il vous faut l'appeler depuis votre backend.
• Périmètre: Tous nos points d'API sont concernés.

🛠 Mesures d'accompagnement :

Nous comprenons que ce changement soudain peut avoir un impact sur vos site.

Une whitelist temporaire peut être activée jusqu’au 30 septembre 2025, sur demande, afin de permettre la transition vers une architecture conforme (ex. : mise en place d’un proxy backend).

Transmettrez-nous vos domaines à autoriser pour bénéficier de cette mesure transitoire à [email protected]

📣 Communication et transparence :

Ce changement aurait mérité une meilleure communication en amont. Nous en tirons les enseignements et allons désormais :

• Documenter systématiquement les évolutions dans notre changelog, y compris les correctifs de sécurité.

À partir de juin 2025, toute nouvelle association inscrite devra être vérifiée avant de pouvoir recevoir un paiement.

Impact sur l'utilisation du checkout:

• Vérifier en amont qu'une association a le droit de recevoir des paiements: comment savoir si une association peut recevoir des paiements
  • Dans le cas d'une association n'ayant pas l'autorisation de recevoir des paiements, vous pouvez la rediriger vers son espace de vérification sur HelloAsso avec l'URL suivante: https://admin.helloasso.com//verification
• Il ne sera plus possible de générer un checkout vers une association non vérifiée, une erreur 409 sera renvoyée dans ce cas.

ℹ️

Association déjà vérifiée

Si l'association est déjà vérifiée alors aucun impact n'est à prévoir.

En savoir plus

• Webinaire présentant les évolutions
• Support du webinaire

La route forms/{formType}/{formSlug}/public permet désormais de récupérer :

• les informations complémentaires (customFields)
• les options proposées (extraOptions)

… telles qu’elles seront présentées aux utilisateurs dans le formulaire et avant la première commande.

👉 Cela vous permet d’anticiper les champs à afficher avant la première commande, et de mieux préparer vos intégrations.

Une bonne nouvelle pour les clé API générées par les associations !

Ces clés disposent désormais du droit RefundManagement. Il est donc maintenant possible, avec ces clés, de déclencher les remboursements et d’annuler des commandes.

ℹ️

Remboursement partiel

Le remboursement partiel d'une commande n'est lui pas encore ouvert aux clés générés directement par les associations.

Lors d'un paiement sur la page de checkout, nous avons ajouté la possibilité pour l'utilisateur de réessayer plusieurs fois en cas d'échec. L'objectif est d'augmenter le taux de paiements acceptés. 💳 ✅
Actuellement, il n'y a pas de limitation du nombre de tentatives, ce qui signifie que l'utilisateur ne sera pas automatiquement redirigé vers votre site même après plusieurs échecs.

Ce qui ne change pas:

• La durée pendant laquelle il peut tenter de payer reste fixée à 15 minutes.
• L'utilisateur peut revenir sur votre site en utilisant les flèches de retour du navigateur, ce qui le ramènera vers la back_url.

A noter: Nous allons étudier la possibilité d'ajouter, dans une prochaine mise à jour, une limite au nombre de tentatives. Une fois cette limite atteinte, l'utilisateur serait redirigé vers votre site.

Après 6 années de bons et loyaux services, nous allons débrancher notre API V3 le 30 juin 2025.

Cette API, obsolète depuis plus de 4 ans, a été remplacée par notre API V5, qui est non seulement plus performante, mais également plus sécurisée et riche en fonctionnalités.

Pour les derniers nostalgiques, nous vous encourageons vivement à migrer vers l’API V5 dès que possible pour bénéficier de ces améliorations et assurer la continuité de vos services.

📘

Nous vous assurons qu’aucune des routes définies de l'API V5 ne sera affectée par cette opération.

Nous avons corrigé le retour du point d'API organizations/{organizationSlug}/payments afin qu'il retourne les paiements au statut PENDING. Ces paiements correspondent à des paiements par échéance prévus à une date future.

C’est une fonctionnalité que beaucoup attendaient pour renforcer la sécurité de vos intégrations : nous sommes ravis de vous annoncer la mise en place des signatures sur nos notifications !

🔍 Pourquoi c’est top ?

Grâce à cette signature, vous pouvez désormais être sûr(e) qu’une notification provient bien de HelloAsso, et éviter tout risque de falsification. La signature est ajoutée automatiquement dans le header de chaque notification envoyée.

🔑 Comment récupérer votre clé de signature ?

Utilisez le endpoint pour récupérer toutes les informations d'un partenaire, les clés de signature de chacune de vos URL de notification sont renvoyées par ce endpoint.

🚦

Disponible en avant-première pour nos partenaires

Pour l’instant, cette fonctionnalité est déployée uniquement pour nos partenaires.

📚 Envie d’en savoir plus ?

Découvrez tous les détails dans notre documentation. C’est par ici 🚀

Afin d’optimiser les performances, nous allons amorcé la dépréciation des champs TotalCount et TotalPages renvoyés sur les routes suivantes :

• GET organizations/{organizationSlug}/payments
• GET /organizations/{organizationSlug}/forms/{formType}/{formSlug}/payments
• GET /organizations/{organizationSlug}/forms/{formType}/{formSlug}/items
• GET /organizations/{organizationSlug}/items
• GET /organizations/{organizationSlug}/forms/{formType}/{formSlug}/orders
• GET /organizations/{organizationSlug}/orders

Calendrier de la transition 📆

N'hésitez à nous écrire directement à [email protected] si vous avez la moindre remarque sur le sujet.

Sur les campagnes Helloasso, il est possible de demander aux utilisateurs de joindre un fichier, dans les informations complémentaires, avant de procéder au paiement.
Ce point d'API permet de les récupérer.

Vous pouvez désormais accéder à ces fichiers, via le point API permettant de récupérer le détail d'une d'une commande:

Pour cela:

1. Générez un token ayant les droits organization_admin (avec une clé API association ou une mire d'authorisation)
2. Faites un appel API avec le token pour récupérer les détails d'une commande (avec ce point d'API par exemple)
3. Récupérez le fichier via son URL et en passant le token, comme décrit sur cette page.

Pour plus d'information, vous pouvez consulter cette page.