(function () {
try {
// AQ-r2 (2026-06-09): respect the explicit-denial sentinel
// written by cookie-consent-harden.js writeATR() on any
// marketing-axis denial (payload.marketing === false; cycle-3 F1).
// Without this gate, the next page navigation re-creates
// gmx_first_touch from the current URL+referrer+utm_*+click_ids,
// silently undoing the reject-all deletion (sweep finding #1).
// The sentinel is cleared the moment the visitor grants
// marketing in the banner (analytics-only grant does NOT
// clear), restoring the writer path on the very next
// page load. Page-cache-safe: the sentinel is a
// browser-resident cookie checked in the inline script, so
// varnish/breeze-served HTML still hits this gate.
if (/(?:^|;\s*)gmx_consent_denied=1(?:;|$)/.test(document.cookie || '')) return;
var CLICK_IDS = ['gclid','fbclid','msclkid','ttclid','wbraid','gbraid','li_fat_id'];
var qs = new URLSearchParams(window.location.search);
var urlClickIdKey = null;
for (var i = 0; i < CLICK_IDS.length; i++) {
if (qs.get(CLICK_IDS[i])) { urlClickIdKey = CLICK_IDS[i]; break; }
}// Parse existing cookie.
var existing = null;
var match = document.cookie.match(/(?:^|;\s*)gmx_first_touch=([^;]+)/);
if (match) {
try { existing = JSON.parse(decodeURIComponent(match[1])); } catch (e) { existing = null; }
}// GWP-273 — referrer-enrichment branch.
// Keep existing unless either (a) URL carries a new click id
// the stored payload lacks (paid click is a higher-value
// signal and upgrades direct/organic), OR (b) the stored
// payload has empty referrer AND the current document.referrer
// is non-empty + external (Safari/ITP/policy-quirk catch:
// first-hit may have missed the referrer; later same-session
// page-loads can recover it).
var existingHasRef = !!(existing && existing.referrer && existing.referrer !== '');
var docRef = document.referrer || '';
var refHost = '';
if (docRef) {
try {
refHost = new URL(docRef).hostname.replace(/^www\./, '').toLowerCase();
} catch (e) { refHost = ''; }
}
var ownHost = (location.host || '').replace(/^www\./, '').toLowerCase();
var currentExternalRef = !!(refHost && refHost !== ownHost);
var canEnrichRef = !!existing && !existingHasRef && currentExternalRef;if (existing) {
if (!urlClickIdKey && !canEnrichRef) return;
if (urlClickIdKey && existing[urlClickIdKey] && !canEnrichRef) return;
}var utm_keys = [
'utm_source','utm_medium','utm_campaign','utm_content','utm_term',
'utm_adgroup','utm_matchtype','utm_network','utm_device','utm_placement'
];
// GWP-273 — merge-preserving base. When enriching an existing
// payload, retain its landing_url + ts + prior click ids /
// utms; only overlay referrer (and any click id appended below
// via the forEach). Branches with/without urlClickIdKey were
// collapsed — both produced the identical Object.assign — the
// click id is added uniformly later.
//
// GWP-273 design choice: "latest external referrer wins" —
// accepted edge case where a user opens a new external tab
// post-empty-first-touch and returns; low-volume, simple, no
// sentinel flag needed.
var data;
if (existing && canEnrichRef) {
data = Object.assign({}, existing, { referrer: docRef });
} else {
data = { landing_url: window.location.href, referrer: docRef, ts: Date.now() };
}
utm_keys.concat(CLICK_IDS).forEach(function (k) {
var v = qs.get(k);
if (v) data[k] = v;
});
var encoded = encodeURIComponent(JSON.stringify(data));
if (encoded.length > 3800) return;
var expires = new Date(Date.now() + 90 * 864e5).toUTCString(); // GWP-143 C1: match Google Ads 90-day attribution window
var secure = window.location.protocol === 'https:' ? '; Secure' : '';
document.cookie = 'gmx_first_touch=' + encoded + '; Path=/; Expires=' + expires + '; SameSite=Lax' + secure;
} catch (e) {}
})();
var breeze_prefetch = {"local_url":"https://gomixapp.co.il","ignore_remote_prefetch":"1","ignore_list":["/cart/","/checkout/","/my-account/","/(.)/u05d4u05d8u05d5u05e4u05e1-u05e0u05e9u05dcu05d7-u05d1u05d4u05e6u05dcu05d7u05d4/","wp-admin","wp-login.php"]};
//# sourceURL=breeze-prefetch-js-extra
טפסים דיגיטליים לחברות במשאבי אנוש הם הפתרון היעיל ביותר לייעול תהליכי גיוס, קליטה וניהול שוטף של עובדים – כולל חתימה אלקטרונית מאובטחת על הסכמי עבודה, טופס 101, ובקשות חופשה מכל מכשיר. מערכת טפסים למשאבי אנוש של GoMixApp תומכת בעיצוב מותאם אישית, שפות מרובות וסבבי חתימה מורכבים, כך שניהול מסמכים דיגיטליים הופך לפשוט, מהיר ובטוח – לארגונים מכל סוג וגודל.
צריכים טופס דיגיטלי? לפרטים ושיחה עם נציג מלאו פרטים ונחזור אליכם
היתרונות
לקוחות ממליצים
פנחס
ועד בית, רמלה
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"עם הסרטונים לחגים פשוט שיחקתם אותה – הדיירים ממש התלהבו!"
מור
מוסד אקדמי
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"לוח המודעות הדיגיטלי נראה מדהים, והכל עובד חלק!"
ענבר שמואלי
בעלת עסק
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"שרות אישי ומקצועי, מענה מהיר, מוצר מעולה, מרוצה מאוד"
ניהול משאבי אנוש
כלים דיגיטליים מתקדמים משתדרגים באמצעות אוטומציה של תהליכים, ובכך משפרים את ניהול משאבי אנוש, מעצימים את חוויית העובדים ויוצרים סביבת עבודה יעילה ומסודרת יותר בארגון.
חתימה דיגיטלית
חתימה דיגיטלית חוסכת זמן, מצמצמת את הצורך בתהליכים מבוססי נייר ומאפשרת להחתים על מסמך כמעט מכל מקום. לקבלת תיעוד טכני ופרטים על פתרונות החתימה – פנו לצוות GoMixApp לקבלת הדגמה.
ידידותי לסביבה
טפסים דיגיטליים למשאבי אנוש חוסכים נייר משמעותי ומונעים כריתת עצים, מצמצמים פסולת משרדית ומחזקים את האחריות הסביבתית של הארגון.
מגוון שדות למילוי
ניתן לבחור מבין שדות מגוונים לכל צורך: תיבות סימון לבחירה מרובה, שדות תאריך, תמונות וצירוף קבצים – הכל זמין בעורך הטפסים הדיגיטליים.
תקן אבטחת מידע ואיכות
הפלטפורמה עומדת בתקן ISO ומבטיחה ניהול מידע מאובטח ובאיכות הגבוהה ביותר, בהתאם לסטנדרטים הבינלאומיים המוכרים לניהול אבטחת מידע.
תאימות לכל המכשירים
הניראות וחוויית המשתמש של הטופס יהיו אופטימליות בכל סוגי המכשירים: נייד, טאבלט ומחשב. כך מובטחת נגישות מלאה ללא תלות בחומרה ספציפית.
עם עורך התוכן גרור ושחרר של GoMixApp, אתם יכולים לערוך טפסים בקלות ובנוחות ללא צורך בסיוע טכני או ידע מוקדם.
ארגון וניתוח בענן
טפסים מאורגנים בענן מאפשרים לצוות HR לגשת למידע בצורה מרכזית ומסודרת, עם כלי ניתוח מתקדמים לצפייה בתוצאות ובמגמות. ניתן לגשת לנתוני טפסים אלקטרוניים למשאבי אנוש מכל מכשיר ובכל זמן.
יצירת טופס דיגיטלי 101
טופס 101 דיגיטלי מאפשר למנהלי HR להפיץ ולנהל פרטי תיאום מס בקלות ובמהירות, תוך עמידה מלאה בדרישות הרגולציה הישראלית. הפתרון מותאם לכל מכשיר – מובייל, טאבלט ומחשב – ומעביר נתוני חברה, לוגו ופרטים מזהים לטופס אוטומטית, כך שמבטיחים אחידות בכל תהליך קליטת עובד. לפרטים נוספים, בקרו בטופס 101 למילוי דיגיטלי למעסיקים.
טופס דיגיטלי להסכם עבודה אישי
הסכם עבודה אישי הוא מסמך קריטי לכל עובד חדש. מנהלי HR מכינים הסכמים מותאמים אישית ומחתימים עליהם בקלות – כולל כל התנאים וההגדרות הדרושים. הפתרון מאפשר עריכת פרטים בגמישות מלאה ויצירת סבבי חתימות אלקטרוניות עם כל הגורמים הרלוונטיים, תוך שמירה על ניהול מסמכים דיגיטליים מסודר ואחסון בענן מאובטח. כך ניהול תהליכי טפסים לכל עובד מתבצע ביעילות וללא נייר.
טופס אישור צילום (אישור שימוש בתמונות)
בעידן שבו תמונות וסרטונים הם חלק בלתי נפרד מהתקשורת העסקית, חשוב לוודא שכל העובדים חתומים על טופס אישור צילום המאפשר שימוש בתמונותיהם לצרכי הארגון. הטופס הדיגיטלי שלנו מאפשר למנהלי משאבי אנוש להחתים את העובדים בקלות, לעקוב אחרי החתימות, ולוודא שכל החומר המועלה לאינטרנט עומד בתנאי האישור.
טופס בקשת חופשה דיגיטלי
ניהול חופשות עובדים דורש סדר ושקיפות. הטפסים החכמים לבקשת חופשה מאפשרים לעובדים להגיש בקשה בקלות ולמנהלים לאשר אותה מיידית – גם בניהול עובדים מרחוק עבור צוותים מפוזרים וגלובליים. כל הבקשות והאישורים עוברים תיעוד מלא עם זרימת עבודה אוטומטית, כך שתמיד יש תמונה ברורה של ימי החופשה בארגון. לפרטים על פתרונות נוספים, בקרו בפתרונות דיגיטליים למנהלי HR.
טופס בקשת הלוואה דיגיטלי
ארגונים רבים מעניקים הלוואות לעובדים כחלק מתנאי ההעסקה. הטפסים האלקטרוניים לבקשת הלוואה מאפשרים לעובדים להגיש בקשות באופן מאובטח לחלוטין, בהתאם להנחיות הרשות להגנת הפרטיות. המנהלים עוקבים אחר הבקשות בצורה מסודרת, מוסיפים תנאים והערות ומאשרים הכל אונליין – שקיפות מלאה ותהליך יעיל לכל הצדדים.
ארגונים רבים מעניקים הלוואות לעובדים כחלק מתנאי ההעסקה. הטפסים האלקטרוניים לבקשת הלוואה מאפשרים לעובדים להגיש בקשות באופן מאובטח לחלוטין, בהתאם להנחיות הרשות להגנת הפרטיות. המנהלים עוקבים אחר הבקשות בצורה מסודרת, מוסיפים תנאים והערות ומאשרים הכל אונליין – כך כל הצדדים נהנים משקיפות מלאה ותהליך יעיל.
לא מצאתם את הטופס שחיפשתם? צוות GoMixApp כאן לעזור ולהתאים פתרון מדויק לצרכים שלכם.
מעל 300 חברות בישראל כבר עברו למערכת הטפסים האלקטרוניים של GoMixApp – כולל חברות טכנולוגיה, ייצור ומוסדות חינוך. צרו קשר עם הצוות שלנו כדי לגלות איזה פתרון מתאים לארגון שלכם.
בין לקוחותינו
טקסט אלטרנטיבי: תמונה כנה, מציאותית ואותנטית, המציגה את מירי קליין, עובדת משאבי אנוש מחייכת, מקיימת אינטראקציה חמה עם טכנולוגיה, בעודה ממלאת טפסים דיגיטליים על גבי טאבלט, בסביבת עבודה מודרנית ונעימה.
מודול טפסים לניהול עובדים מרחוק – גמישות מלאה לצוותים מפוזרים
מודול טפסים לניהול עובדים מרחוק של GoMixApp נבנה במיוחד עבור ארגונים שמנהלים צוותים בפריסה גיאוגרפית רחבה. בין אם מדובר בסניפים ברחבי הארץ או עובדים מרוחקים בחו'ל, הפתרון מאפשר הפצה, מילוי וחתימה על טפסים חכמים לארגונים – הכל אונליין, ללא צורך בנוכחות פיזית.
טפסים-דיגיטליים-מאובטחים של המערכת עומדים בתקני אבטחה מחמירים ומבטיחים שכל מסמך HR – מהסכם עבודה ועד טפסי הערכת ביצועים – מוגן ומוצפן. כל פעולה מתועדת ביומן ביקורת (Audit Trail) מלא, המאפשר לארגון לעמוד בדרישות הרגולציה ולהוכיח תאימות בכל עת. למידע נוסף על פתרונות אבטחה.
שאלות נפוצות
מה הם טפסים דיגיטליים לחברות במשאבי אנוש?
טפסים דיגיטליים לחברות במשאבי אנוש הם מסמכים אלקטרוניים המחליפים טפסי נייר בתהליכי HR – כגון קליטת עובדים, הסכמי עבודה, בקשות חופשה וטפסי הערכת ביצועים. הם מאפשרים מילוי, חתימה ואישור מקוונים מכל מכשיר, תוך שמירה מאובטחת בענן.
אילו פתרונות דיגיטליים קיימים לניהול HR?
פתרונות ניהול HR דיגיטלי כוללים מערכת טפסים למשאבי אנוש, חתימה אלקטרונית, אוטומציה של תהליכי גיוס וקליטה, ניהול מסמכים בענן ודוחות בזמן אמת. GoMixApp מציעה כלל הפתרונות הללו בפלטפורמה אחת משולבת.
מה הם טפסי HR הנפוצים ביותר?
טפסי HR נפוצים כוללים: טופס 101 לתיאום מס, הסכם עבודה אישי, טופס בקשת חופשה, טופס הערכת ביצועים, טופס בקשת הלוואה, אישור שעות נוספות וטופס אישור צילום. מערכת טפסים חכמים לארגונים מאפשרת לנהל את כולם בפלטפורמה אחת.
האם הטפסים הדיגיטליים עומדים בדרישות החוק בישראל?
כן. הטפסים האלקטרוניים של GoMixApp עומדים בדרישות רגולציה ישראליות, כולל חוק חתימה אלקטרונית וכן הנחיות הרשות להגנת הפרטיות. כל המסמכים מאוחסנים בצורה מוצפנת ומאובטחת, עם יומן ביקורת מלא.
כמה זמן לוקח להטמיע מערכת טפסים דיגיטליים בארגון?
הטמעת מערכת טפסים למשאבי אנוש של GoMixApp אורכת בדרך כלל מספר ימי עסקים בלבד. הצוות מלווה את הארגון לאורך כל התהליך – מהגדרת הטפסים, דרך שילוב עם מערכות HR קיימות, ועד הדרכת המשתמשים.
השוואה: ניהול טפסי HR על נייר לעומת מערכת טפסים דיגיטלית
תכונה
טפסי נייר
מערכת טפסים דיגיטלית
נגישות לעובדים מרחוק
✗מחייב נוכחות פיזית במשרד לחתימה
✓גישה מלאה מכל מכשיר ומכל מקום
אוטומציה של תהליכים
✗כל שלב מצריך טיפול ידני ומעקב אנושי
✓זרימת עבודה אוטומטית עם התראות בזמן אמת
אחסון ואבטחת מסמכים
✗מסמכים פיזיים חשופים לאובדן ונזק
✓אחסון מוצפן בענן עם גיבוי אוטומטי
עמידה בדרישות רגולציה
✗קשה לאמת עמידה בדרישות ללא תיעוד דיגיטלי
✓יומן ביקורת מלא ועמידה בהנחיות הגנת הפרטיות
עלות תפעולית
✗הוצאות הדפסה, אחסון ועיבוד ידני יקרות
✓חיסכון משמעותי בזמן ובעלויות ניהול
לסיכום: למה לעבור לפתרון מקצועי לניהול מסמכים HR?
ניהול תהליכי משאבי אנוש באמצעות פתרון דיגיטלי מקצועי חוסך זמן יקר, מפחית טעויות אנוש ומשפר את חוויית העובד כבר מהיום הראשון. מערכת טפסים חכמים לארגונים כמו GoMixApp מספקת לצוותי HR את הכלים לנהל כל תהליך – מגיוס ועד פרישה – בצורה מסודרת, שקופה ומאובטחת, כולל אחסון מסמכים בענן ואוטומציה מלאה של זרימות עבודה.
עדכון אחרון: 2026. ארגונים שמאמצים היום מערכת ניהול משאבי אנוש (HRMS) דיגיטלית נהנים מיתרון תחרותי משמעותי – הן בגיוס כישרונות והן בשימורם לאורך זמן. בין אם אתם חברת טכנולוגיה, מוסד חינוכי או גוף פיננסי, המעבר לניהול מסמכים דיגיטלי הוא צעד שכדאי לעשות עכשיו.
רוצים לראות כיצד הפתרון עובד עבור הארגון שלכם? צרו קשר עם צוות GoMixApp ונשמח להדגים את המערכת ולהתאים פתרון מדויק לצרכי HR שלכם.
document.addEventListener('click', function(e) {
var el = e.target.closest('.gmx-lite-yt');
if (!el) return;
var vid = el.getAttribute('data-vid');
if (!vid) return;
var iframe = document.createElement('iframe');
iframe.src = 'https://www.youtube.com/embed/' + vid + '?autoplay=1';
iframe.style.cssText = 'position:absolute;top:0;left:0;width:100%;height:100%;border:0;';
iframe.allow = 'autoplay;encrypted-media';
iframe.allowFullscreen = true;
el.style.position = 'relative';
el.innerHTML = '';
el.appendChild(iframe);
});
(function () {
var c = document.body.className;
c = c.replace(/woocommerce-no-js/, 'woocommerce-js');
document.body.className = c;
})();
var gmxCf7LegacyUxI18n = {"errName":"Please enter a full name","errPhone":"Please enter a valid phone number","errEmail":"Please enter a valid email address","errRequired":"Required field"};
//# sourceURL=gmx-cf7-legacy-ux-js-extra
(function(){
function cleanUrl(url) {
// Strip query params embedded mid-path: /ID?params/file -> /ID/file
return url.replace(/\?[^\/]+\//g, '/');
}
function addWebPFallback(pic) {
if (pic.getAttribute('data-webp-fb')) return;
pic.setAttribute('data-webp-fb', '1');
var img = pic.querySelector('img');
if (!img) return;
img.onerror = function() {
this.onerror = null;
this.src = cleanUrl(this.src).replace('vi_webp','vi').replace('.webp','.jpg');
var sources = this.parentElement.querySelectorAll('source');
for (var i = 0; i < sources.length; i++) {
sources[i].srcset = cleanUrl(sources[i].srcset).replace('vi_webp','vi').replace('.webp','.jpg');
}
};
}
var observer = new MutationObserver(function() {
var pics = document.querySelectorAll('.video-seo-youtube-picture');
for (var i = 0; i < pics.length; i++) addWebPFallback(pics[i]);
});
observer.observe(document.documentElement, { childList: true, subtree: true });
})();
(function(){
var siteKey = "6Ldnu_gsAAAAAGpkh7vCd_h3L9BA193yFU59I4Do";
var action = "submit_lead_form";
var loaderUrl = "https:\/\/www.google.com\/recaptcha\/enterprise.js?render=6Ldnu_gsAAAAAGpkh7vCd_h3L9BA193yFU59I4Do";
// GWP-506 (perf): the reCAPTCHA Enterprise runtime costs ~900ms of main-thread
// work (PSI contactus TBT 660ms, perf 69). It was loaded eagerly on every page
// carrying a CF7 form. It now loads on the FIRST real page interaction
// (scroll/pointer/key/touch) — warming the runtime well before the user can
// reach submit — and never loads on a no-interaction (lab) page view, so the
// perf win holds. The token is still stamped on form focusin and refreshed at
// submit. IMPORTANT: the server gate is fail-CLOSED by default (GWP-412
// require_token) — a missing token at submit is treated as spam — so the
// runtime MUST be warm before submit; that is exactly why the warm trigger is
// first-page-interaction, NOT focusin-only (focusin-only left a race where a
// fast focus→submit could POST before the ~900ms download finished and drop a
// legit lead). The eager <script src> is gone.
var greReady = false, greWaiters = [], greLoadStarted = false;
function pollGre(attempts) {
if (typeof grecaptcha !== 'undefined' && grecaptcha.enterprise) {
greReady = true;
var queued = greWaiters;
greWaiters = [];
queued.forEach(function (fn) { try { fn(); } catch (e) {} });
return;
}
if (attempts > 200) {
// no-silent-failures: enterprise.js never became ready (network-blocked,
// consent/privacy blocker, or a Google outage). Surface it — a missing
// token fails CLOSED server-side (GWP-412) and drops the lead.
if (window.console && console.warn) {
console.warn('[GMX recaptcha] enterprise.js not ready after ~10s; token will be missing (submit fails closed).');
}
return; // give up after ~10s (200 * 50ms)
}
setTimeout(function () { pollGre(attempts + 1); }, 50);
}
function loadGre() {
if (greLoadStarted) return;
greLoadStarted = true;
var s = document.createElement('script');
s.src = loaderUrl;
s.async = true;
document.head.appendChild(s);
pollGre(0); // begin polling only once the runtime is actually loading
}
function whenGreReady(cb) {
if (greReady) return cb();
greWaiters.push(cb);
}
function stampToken(form) {
if (!form.querySelector('.wpcf7-form-control-wrap input[type="submit"], .wpcf7-submit')) return;
loadGre(); // lazy: kick off enterprise.js on demand (idempotent)
whenGreReady(function () {
grecaptcha.enterprise.ready(function () {
grecaptcha.enterprise.execute(siteKey, { action: action }).then(function (token) {
var hidden = form.querySelector('input[name="gmx_recaptcha_token"]');
if (!hidden) {
hidden = document.createElement('input');
hidden.type = 'hidden';
hidden.name = 'gmx_recaptcha_token';
form.appendChild(hidden);
}
hidden.value = token;
}).catch(function () {
// no-silent-failures: token generation failed; the server gate is
// fail-CLOSED (GWP-412), so this submit will be rejected as spam.
if (window.console && console.warn) {
console.warn('[GMX recaptcha] token execute failed; submit will fail closed.');
}
});
});
});
}
document.addEventListener('wpcf7submit', function (e) { stampToken(e.target); });
// Also stamp on first focus into any CF7 form (so token ready before submit).
// `whenGreReady()` queues the stamp until grecaptcha loads, so the once-
// listener stays safe even if grecaptcha isn't ready at focus-in time.
document.querySelectorAll('form.wpcf7-form').forEach(function (form) {
form.addEventListener('focusin', function once() {
form.removeEventListener('focusin', once);
stampToken(form);
});
});
// GWP-506: warm enterprise.js on the FIRST real page interaction so the ~900ms
// runtime is ready before the user reaches submit (closes the focusin-only race
// against the fail-CLOSED server gate, and covers AJAX/popup-injected forms that
// missed the focusin binding above). Never fires on a no-interaction (lab) view,
// so the perf win holds. Idempotent via loadGre()'s greLoadStarted guard.
var warmOpts = { passive: true, capture: true };
var warmEvents = ['pointerdown', 'keydown', 'touchstart', 'scroll'];
function warmGre() {
loadGre();
warmEvents.forEach(function (e) { window.removeEventListener(e, warmGre, warmOpts); });
}
warmEvents.forEach(function (e) { window.addEventListener(e, warmGre, warmOpts); });// GWP-507 (CONFIRMED LIVE: 19 real leads dropped in 8 days): capture-phase
// submit GATE. The warm/focusin logic above only *helps* the token be ready;
// it is NOT a guarantee. The race: a user whose FIRST interaction is clicking
// submit on an autofilled form (no prior scroll/field-touch to warm the
// ~900ms enterprise.js), or who submits before the runtime readies, serializes
// the AJAX POST with an EMPTY gmx_recaptcha_token → the fail-CLOSED server gate
// (GWP-412 require_token) drops the lead as spam. CF7's `wpcf7submit` fires
// AFTER the AJAX POST (too late), and CF7 exposes no documented pre-POST JS
// hook (verified: contactform7.com/dom-events). So the ONLY seam is to
// intercept the native DOM submit/click in CAPTURE phase, HOLD it until
// greReady + token stamped, then re-dispatch. grecaptcha token lifetime is
// 2 minutes, so holding briefly is safe.
//
// TIMEOUT-FALLBACK CHOICE (a): if enterprise.js never readies within the
// ~10s ceiling (network-blocked / consent-blocker / Google outage), we
// RE-ENABLE the button and let the submit proceed WITHOUT a token rather than
// hard-blocking the user. It will fail-CLOSED server-side (GWP-412), but the
// console.warn fires loudly (no-silent-failures) — we never trap a real user
// behind a spinner they can't escape.
var GATE_TIMEOUT_MS = 10000; // matches pollGre ceiling (200 * 50ms).
function gmxFormHasToken(form) {
var hidden = form.querySelector('input[name="gmx_recaptcha_token"]');
return !!(hidden && hidden.value);
}
function gmxSetVerifying(form, on) {
var btn = form.querySelector('.wpcf7-submit, input[type="submit"], button[type="submit"]');
if (!btn) return;
if (on) {
btn.disabled = true;
btn.setAttribute('data-gmx-verifying', '1');
} else {
btn.disabled = false;
btn.removeAttribute('data-gmx-verifying');
}
}
function gmxReleaseSubmit(form) {
// Mark released so the re-dispatched submit passes straight through the
// capture gate (no re-gate loop), re-enable UX, then re-trigger.
form.__gmxGateReleased = true;
gmxSetVerifying(form, false);
if (typeof form.requestSubmit === 'function') {
form.requestSubmit();
} else {
form.dispatchEvent(new Event('submit', { bubbles: true, cancelable: true }));
}
// GWP-507 finding-1 (BLOCKER fix): reset the release flag on the NEXT tick
// so any FUTURE user submit (user edits a field + resubmits) is re-gated and
// stamps a FRESH token. reCAPTCHA tokens are single-use with a ~2-min
// lifetime — without this reset, __gmxGateReleased stayed true forever after
// the first release, letting a second submit bypass the gate and POST a
// stale/used token. The setTimeout(0) lets the synchronous re-dispatch above
// complete (which short-circuits on the still-true flag) before we re-arm.
setTimeout(function () { form.__gmxGateReleased = false; }, 0);
}
function gmxSubmitGate(e) {
var form = e.currentTarget;
if (form.tagName !== 'FORM') { form = form.form || form.closest('form.wpcf7-form'); }
if (!form) return;
// Idempotent: a programmatic re-submit we already released proceeds. This is
// the ONLY pass-through — it lets the freshly-stamped re-dispatch reach CF7.
// (The flag is reset on the next tick in gmxReleaseSubmit, so the NEXT user
// submit is re-gated.)
if (form.__gmxGateReleased) return;
// GWP-507 finding-2 (stale/used token fix): every USER submit HOLDS + stamps
// a FRESH token — we do NOT early-return on an already-present token. A token
// already sitting in the hidden input may be stale or already used (single-
// use, ~2-min lifetime); proceeding on it would POST a dead token. enterprise.js
// is warm by submit time, so grecaptcha.enterprise.execute() resolves in
// ~100-300ms — the per-submit hold is brief. stampToken() OVERWRITES the
// hidden input value (hidden.value = token), so no stale token lingers.
// HOLD: block CF7's submit handler before the AJAX POST.
e.preventDefault();
e.stopImmediatePropagation();
if (form.__gmxGateWaiting) return; // a click + submit may both fire; hold once.
form.__gmxGateWaiting = true;
loadGre(); // kick the warm if not started.
gmxSetVerifying(form, true);
var released = false;
function release(missing) {
if (released) return;
released = true;
form.__gmxGateWaiting = false;
if (missing && window.console && console.warn) {
console.warn('[GMX recaptcha] submit gate timed out (~10s); releasing without token (submit fails closed).');
}
gmxReleaseSubmit(form);
}
var timer = setTimeout(function () { release(true); }, GATE_TIMEOUT_MS);
whenGreReady(function () {
stampToken(form);
// stampToken resolves the token asynchronously (enterprise.execute
// promise); poll briefly for the stamp, then release. Bounded by the
// same overall timer above.
(function awaitStamp(n) {
if (released) return;
if (gmxFormHasToken(form)) { clearTimeout(timer); release(false); return; }
if (n > 200) { clearTimeout(timer); release(true); return; } // ~10s (200*50ms)
setTimeout(function () { awaitStamp(n + 1); }, 50);
})(0);
});
}
// GWP-507 finding-4 (CF7 phase): WHY capture phase works. Our gate listener is
// registered in CAPTURE phase (3rd arg `true`), so it runs BEFORE CF7's own
// bubble-phase 'submit' handler on the same form. When we call
// e.stopImmediatePropagation() in the capture listener, the DOM spec stops ALL
// further listeners for that event on the target — including the later
// bubble-phase CF7 handler — so CF7's AJAX POST never fires until we re-dispatch
// with a fresh token. This capture-phase interception is the only documented
// pre-POST seam: CF7 exposes no pre-POST JS hook (wpcf7submit fires AFTER the
// AJAX POST). See contactform7.com/dom-events.
document.querySelectorAll('form.wpcf7-form').forEach(function (form) {
form.addEventListener('submit', gmxSubmitGate, true);
var btn = form.querySelector('.wpcf7-submit, input[type="submit"], button[type="submit"]');
if (btn) { btn.addEventListener('click', gmxSubmitGate, true); }
});
})();
(function(){
var loaded = false;
function loadUserWay() {
if (loaded) return;
loaded = true;
var el = document.createElement('script');
el.setAttribute('data-account', "UX40fo0Ctw");
el.setAttribute('data-language', "he");
el.setAttribute('src', 'https://cdn.userway.org/widget.js');
document.body.appendChild(el);
events.forEach(function(e){ window.removeEventListener(e, loadUserWay, {passive: true}); });
}
var events = ['scroll', 'mousemove', 'touchstart', 'click', 'keydown'];
events.forEach(function(e){ window.addEventListener(e, loadUserWay, {passive: true}); });
})();
