(function () {
try {
// AQ-r2 (2026-06-09): respect the explicit-denial sentinel
// written by cookie-consent-harden.js writeATR() on any
// marketing-axis denial (payload.marketing === false; cycle-3 F1).
// Without this gate, the next page navigation re-creates
// gmx_first_touch from the current URL+referrer+utm_*+click_ids,
// silently undoing the reject-all deletion (sweep finding #1).
// The sentinel is cleared the moment the visitor grants
// marketing in the banner (analytics-only grant does NOT
// clear), restoring the writer path on the very next
// page load. Page-cache-safe: the sentinel is a
// browser-resident cookie checked in the inline script, so
// varnish/breeze-served HTML still hits this gate.
if (/(?:^|;\s*)gmx_consent_denied=1(?:;|$)/.test(document.cookie || '')) return;
var CLICK_IDS = ['gclid','fbclid','msclkid','ttclid','wbraid','gbraid','li_fat_id'];
var qs = new URLSearchParams(window.location.search);
var urlClickIdKey = null;
for (var i = 0; i < CLICK_IDS.length; i++) {
if (qs.get(CLICK_IDS[i])) { urlClickIdKey = CLICK_IDS[i]; break; }
}// Parse existing cookie.
var existing = null;
var match = document.cookie.match(/(?:^|;\s*)gmx_first_touch=([^;]+)/);
if (match) {
try { existing = JSON.parse(decodeURIComponent(match[1])); } catch (e) { existing = null; }
}// GWP-273 — referrer-enrichment branch.
// Keep existing unless either (a) URL carries a new click id
// the stored payload lacks (paid click is a higher-value
// signal and upgrades direct/organic), OR (b) the stored
// payload has empty referrer AND the current document.referrer
// is non-empty + external (Safari/ITP/policy-quirk catch:
// first-hit may have missed the referrer; later same-session
// page-loads can recover it).
var existingHasRef = !!(existing && existing.referrer && existing.referrer !== '');
var docRef = document.referrer || '';
var refHost = '';
if (docRef) {
try {
refHost = new URL(docRef).hostname.replace(/^www\./, '').toLowerCase();
} catch (e) { refHost = ''; }
}
var ownHost = (location.host || '').replace(/^www\./, '').toLowerCase();
var currentExternalRef = !!(refHost && refHost !== ownHost);
var canEnrichRef = !!existing && !existingHasRef && currentExternalRef;if (existing) {
if (!urlClickIdKey && !canEnrichRef) return;
if (urlClickIdKey && existing[urlClickIdKey] && !canEnrichRef) return;
}var utm_keys = [
'utm_source','utm_medium','utm_campaign','utm_content','utm_term',
'utm_adgroup','utm_matchtype','utm_network','utm_device','utm_placement'
];
// GWP-273 — merge-preserving base. When enriching an existing
// payload, retain its landing_url + ts + prior click ids /
// utms; only overlay referrer (and any click id appended below
// via the forEach). Branches with/without urlClickIdKey were
// collapsed — both produced the identical Object.assign — the
// click id is added uniformly later.
//
// GWP-273 design choice: "latest external referrer wins" —
// accepted edge case where a user opens a new external tab
// post-empty-first-touch and returns; low-volume, simple, no
// sentinel flag needed.
var data;
if (existing && canEnrichRef) {
data = Object.assign({}, existing, { referrer: docRef });
} else {
data = { landing_url: window.location.href, referrer: docRef, ts: Date.now() };
}
utm_keys.concat(CLICK_IDS).forEach(function (k) {
var v = qs.get(k);
if (v) data[k] = v;
});
var encoded = encodeURIComponent(JSON.stringify(data));
if (encoded.length > 3800) return;
var expires = new Date(Date.now() + 90 * 864e5).toUTCString(); // GWP-143 C1: match Google Ads 90-day attribution window
var secure = window.location.protocol === 'https:' ? '; Secure' : '';
document.cookie = 'gmx_first_touch=' + encoded + '; Path=/; Expires=' + expires + '; SameSite=Lax' + secure;
} catch (e) {}
})();
var breeze_prefetch = {"local_url":"https://gomixapp.co.il","ignore_remote_prefetch":"1","ignore_list":["/cart/","/checkout/","/my-account/","/(.)/u05d4u05d8u05d5u05e4u05e1-u05e0u05e9u05dcu05d7-u05d1u05d4u05e6u05dcu05d7u05d4/","wp-admin","wp-login.php"]};
//# sourceURL=breeze-prefetch-js-extra
שילוט דיגיטלי פנים-ארגוני לחברות הוא הפתרון המוביל לתקשורת ארגונית פנימית אפקטיבית. באמצעות מסכים דיגיטליים לעובדים המוצבים בחללי המשרד, תוכלו להעביר הודעות בזמן אמת, לחגוג הצלחות ולחזק את תרבות הארגון – ללא מיילים שמתעלמים מהם. נכון ל-2026, יותר מ-300 חברות בישראל נהנות ממערכת תקשורת פנימית דיגיטלית של GoMixApp.
הרבה יותר מלוח דיגיטלי להודעות ארגוניות! זה שילוט דיגיטלי שמציג (כמעט) כל תוכן אפשרי
שילוט דיגיטלי למשרדים מאפשר להציג הודעות חשובות באופן בולט לעין, כך שאף עובד לא יפספס עדכון משמעותי. על המסכים ניתן להציג טקסט, תמונות וסרטוני וידאו – כדי למשוך תשומת לב מקסימלית לתכנים כמו פגישות צוות, ביקורי דירקטוריון, ארועים חברתיים ותזכורות יומיומיות. בנוסף, מערכת לוח מודעות פנים ארגוני דיגיטלי תומכת בסקרים ושאלונים עם סריקת QR – כך שהמנהלים מקבלים משוב אותנטי מהעובדים ומשלבים אותם בהחלטות.
לוח מודעות דיגיטלי למשרדי ממשלה: מחברים את העובדים והאורחים למידע ארגוני, אירועי רווחה וחדשות בזמן אמת.
דוגמה לשילוט דיגיטלי פנים ארגוני
היתרונות
שיפור התקשורת הארגונית וכלי יעיל להודעות
מסכים דיגיטליים לתקשורת ארגונית מבטיחים שכל עובד יקבל את המידע הנכון בזמן הנכון, ישירות על לוח הודעות דיגיטלי לעובדים המוצב ברחבי הארגון.
הגברת תחושת הקהילתיות בתוך החברה
חברות שעובדות לפי תפיסה קהילתית הן מקום שכיף יותר לעבוד בו. שילוט חכם זו דרך נוחה לשתף הודעות, תזכורות ואפילו ימי הולדת של עובדים, כך שהקולגות בעבודה יוכלו לראות.
לחגוג ולתגמל הצלחות זו דרך לייצר מוטיבציה
סיימתם סבב גיוס? השקתם מוצר חדש? הציגו זאת על לוח מודעות דיגיטלי לעובדים. השתמשו במסכים להצגת עובד/ת החודש והשנה המצטיינים, וייצרו מוטיבציה אמיתית.
עורך התוכן האינטואיטיבי כולל מודולים מובנים: מזג אוויר, חדשות, תאריך ושעה, תמונות וסרטונים – ניהול קל ומקצועי ללא צורך בידע טכני.
תקני ISO לאבטחת מידע ואבטחת איכות
המערכת עומדת בתקני ISO לאבטחת מידע: בקרת גישה, הגנה מפני איומים והצפנת נתונים – המידע הארגוני שלכם מוגן בכל עת לפי הסטנדרטים המחמירים ביותר.
קבלת עדכונים
התראות ניתוק נשלחות למייל בזמן אמת לתגובה מהירה ותיקון מיידי – זמינות המסכים נשמרת ופעילות הארגון אינה נפגעת.
מה יכול לכלול שילוט דיגיטלי לתקשורת פנים ארגונית?
הודעות טקסט
גלריית תמונות
סרטוני וידאו
מוזיקה
תאריך ושעה עברי או לועזי
תחזית מזג האוויר
עדכוני חדשות
שעות כניסת ויציאת שבת
לקוחות ממליצים
פנחס
ועד בית, רמלה
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"עם הסרטונים לחגים פשוט שיחקתם אותה – הדיירים ממש התלהבו!"
מור
מוסד אקדמי
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"לוח המודעות הדיגיטלי נראה מדהים, והכל עובד חלק!"
ענבר שמואלי
בעלת עסק
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"שרות אישי ומקצועי, מענה מהיר, מוצר מעולה, מרוצה מאוד"
אל תחכו עוד! הצטרפו למהפכת התקשורת הפנים-ארגונית עם GoMixApp ושדרגו את סביבת העבודה שלכם. בעזרת שילוט דיגיטלי פנים-ארגוני תיצרו קשרים חברתיים חזקים, תגבירו את מעורבות העובדים ותשפרו את הביצועים העסקיים.
התחילו עוד היום להוביל את הארגון שלכם להצלחה עם הכלים הטכנולוגיים המתקדמים של GoMixApp.
צרו קשר עכשיו למידע נוסף ולהתחלת השימוש בלוח אלקטרוני פנים ארגוני.
מעוניינים במערכת שילוט דיגיטלי? לפרטים ושיחה עם נציג מלאו פרטים ונחזור אליכם
מסכים דיגיטליים לעובדים – מה מקבלים בפועל?
מערכת תקשורת פנימית דיגיטלית מבוססת על מסכי LED או תצוגות Full HD המחוברים ל-Wi-Fi, המנוהלים באמצעות ממשק CMS (מערכת ניהול תוכן) ענני נוח. ניתן לעדכן תכנים מכל מקום, ללא צורך בשרת פנימי, דיסק קשיח מקומי או ידע טכני מיוחד. המערכת תומכת בעדכונים בזמן אמת ומתאימה למשרדים, מפעלים, בנקים, בתי חולים ומלונות.
פתרון לוח מודעות דיגיטלי לעובדים כולל את כל מה שצריך להעברת מסרים פנים-ארגוניים יעילים:
הצגת הודעות טקסט, תמונות וסרטונים בזמן אמת
אינטגרציה עם לוחות שנה, עדכוני מזג אוויר וחדשות
תמיכה בסקרים ושאלונים עם קוד QR לקבלת משוב מיידי
ממשק משתמש אינטואיטיבי – עדכון תוכן בכמה שניות
עלות תפעול נמוכה ותחזוקה קלה לאורך זמן
תאימות מלאה לסביבות משרדיות ולתקני אבטחת מידע ISO
לפי נתוני תעשיית השילוט הדיגיטלי העולמית, ארגונים שמטמיעים מסכים דיגיטליים לתקשורת ארגונית מדווחים על עלייה של עד 47% במעורבות עובדים ועל קיצור משמעותי בזמן הגעת מידע לשטח.
שילוט דיגיטלי למשרדים – מי משתמש ומה העלות?
מערכת לוח מודעות פנים ארגוני דיגיטלי מותאמת לחברות מכל הגדלים והסקטורים: חברות טכנולוגיה, בנקים ומוסדות פיננסיים, בתי חולים ומרכזים רפואיים, מלונות ומרכזי קונגרסים ומפעלי ייצור. העלות משתנה בהתאם למספר המסכים, סוג התצוגה (LED, LCD, מסך מגע) ורמת ההתאמה האישית הנדרשת.
מסכים בודדים לחדרי הפסקה ולובי – מחיר נגיש לכל עסק
רשתות מסכים מרובות לסניפים מפוזרים – ניהול מרכזי אחד
חבילות VIP הכוללות עיצוב תוכן ותמיכה שוטפת
אפשרות שכירות וליסינג – ללא השקעה ראשונית גבוהה
נקודות מפתח
מסכי תוכן מרכזיים מחזקים תרבות ארגונית ומשפרים תקשורת פנימית יומיומית.
עדכון תכנים בזמן אמת מאפשר לחברות להגיב מהר לשינויים תפעוליים.
ממשק ניהול מרכזי חוסך זמן ומפחית תלות במחלקות IT לעדכון שלטים.
שילוב נתוני KPI ולוחות מחוונים על המסכים מגביר מוטיבציה בקרב עובדים.
פריסת פתרון תצוגה מודולרי מתאים לסניפים מרובים ללא עלויות תשתית כבדות.
שאלות נפוצות
כמה עולה מערכת שילוט דיגיטלי פנים-ארגוני לחברות?
עלות מערכת שילוט דיגיטלי פנים-ארגוני לחברות תלויה במספר המסכים, סוג החומרה ורמת ההתאמה. ישנן חבילות מתחילות למסך בודד ועד פתרונות רשתיים מלאים לרשתות גדולות. GoMixApp מציעה גם אפשרויות שכירות וליסינג להורדת ההשקעה הראשונית.
מה ניתן להציג על לוח מודעות דיגיטלי לעובדים?
על לוח הודעות דיגיטלי לעובדים ניתן להציג הודעות טקסט, תמונות, סרטוני וידאו, תחזית מזג אוויר, עדכוני חדשות, שעות שבת, ימי הולדת של עובדים, סקרים עם QR ועוד. המגוון הרחב מאפשר תקשורת ארגונית פנימית אפקטיבית בכל פורמט.
האם מסכים דיגיטליים לתקשורת ארגונית מתאימים לחברות קטנות?
כן. מסכים דיגיטליים לתקשורת ארגונית מתאימים לכל גודל חברה – ממשרדים קטנים עם מסך אחד ועד ארגונים גדולים עם עשרות מסכים במספר סניפים. הממשק האינטואיטיבי מאפשר ניהול עצמאי ללא צורך בצוות IT ייעודי.
כמה זמן לוקח להתקין מערכת לוח מודעות פנים ארגוני דיגיטלי?
התקנת מערכת לוח מודעות פנים ארגוני דיגיטלי אורכת בדרך כלל יום עסקים אחד עד שניים, כולל הרכבת המסכים, חיבור ל-Wi-Fi והגדרת תכנים ראשוניים. GoMixApp מספקת ליווי מלא מהרגע הראשון.
איך מערכת תקשורת פנימית דיגיטלית משפרת מעורבות עובדים?
מערכת תקשורת פנימית דיגיטלית מציגה מידע ויזואלי בנקודות תנועה גבוהות, מגיעה לעובדים שלא קוראים מיילים ומאפשרת חגיגת הצלחות בזמן אמת. ארגונים שמשתמשים בפתרון מדווחים על עלייה של עד 47% במדדי מעורבות עובדים.
שילוט דיגיטלי פנים-ארגוני לעומת פתרונות תקשורת ארגונית אחרים
קריטריון
שילוט דיגיטלי פנים-ארגוני
לוח מודעות פיזי
דוא"ל ועדכוני אינטראנט
עדכון תוכן בזמן אמת
✓עדכון מיידי ואוטומטי מכל מקום
✗דורש הדפסה והחלפה ידנית
✓עדכון אפשרי אך דורש פתיחה אקטיבית
חשיפה לעובדים ללא מאמץ
✓מוצג בשטח הציבורי ונראה לכולם
✗דורש גישה פיזית למיקום הלוח
✗תלוי בפתיחת המייל על ידי העובד
תמיכה בתכנים מולטימדיה
✓וידאו, תמונות, נתונים חיים ועוד
✗טקסט ותמונות מודפסות בלבד
✓קבצים מצורפים אך חוויה מוגבלת
חיזוק תחושת שייכות ומוטיבציה
✓מציג הישגים, ברכות ואירועי חברה
✗אפשרויות מוגבלות ומראה סטטי
✗תוכן אישי פחות ונטמע בעומס מיילים
עמידה בתקני אבטחת מידע ISO
✓עומד בתקני ISO לאבטחת מידע ואיכות
✗אין רלוונטיות לתקני אבטחה דיגיטלית
✓תלוי בתשתית ה-IT הארגונית
קלות עריכה וניהול תוכן
✓עורך תוכן ידידותי וגמיש לכל משתמש
✗תהליך ידני, איטי ולא מרכזי
✓אך מפוצל ואינו מרכזי למסכים
לסיכום: למה להשקיע במערכת תקשורת פנימית דיגיטלית?
מסכים דיגיטליים לעובדים הם כלי אסטרטגי שמשנה את אופן התקשורת הפנימית בארגון: הם מבטיחים שכל עובד מקבל את המידע הנכון בזמן הנכון, מחזקים את תחושת השייכות לקהילה הארגונית ומייצרים מוטיבציה דרך חגיגת הצלחות. בניגוד לאימיילים שנשכחים בתיבת הדואר, לוח מודעות דיגיטלי לעובדים מוצב בנקודות התנועה הרבה ביותר ומוודא שהמסר חוצה לכל עובד.
נכון ל-2026, ההשקעה בפתרון תקשורת פנימית דיגיטלי מחזירה את עצמה במהירות: שיפור בציוני מעורבות עובדים, צמצום בזמן העברת מידע תפעולי וחסכון ניכר בהוצאות הדפסה וניהול לוחות מודעות פיזיים. הפתרון קל להתקנה ותחזוקה, ועומד בתקני תקני השילוט הדיגיטלי ואבטחת המידע המחמירים ביותר.
עדכון אחרון: יולי 2026. מעוניינים לשדרג את התקשורת הפנימית בארגון שלכם? צרו קשר עם צוות GoMixApp ונבנה יחד את הפתרון המתאים לכם.
var gmxCf7LegacyUxI18n = {"errName":"Please enter a full name","errPhone":"Please enter a valid phone number","errEmail":"Please enter a valid email address","errRequired":"Required field"};
var gmxCf7LegacyUxI18n = {"errName":"Please enter a full name","errPhone":"Please enter a valid phone number","errEmail":"Please enter a valid email address","errRequired":"Required field"};
//# sourceURL=gmx-cf7-legacy-ux-js-extra
(function(){
function cleanUrl(url) {
// Strip query params embedded mid-path: /ID?params/file -> /ID/file
return url.replace(/\?[^\/]+\//g, '/');
}
function addWebPFallback(pic) {
if (pic.getAttribute('data-webp-fb')) return;
pic.setAttribute('data-webp-fb', '1');
var img = pic.querySelector('img');
if (!img) return;
img.onerror = function() {
this.onerror = null;
this.src = cleanUrl(this.src).replace('vi_webp','vi').replace('.webp','.jpg');
var sources = this.parentElement.querySelectorAll('source');
for (var i = 0; i < sources.length; i++) {
sources[i].srcset = cleanUrl(sources[i].srcset).replace('vi_webp','vi').replace('.webp','.jpg');
}
};
}
var observer = new MutationObserver(function() {
var pics = document.querySelectorAll('.video-seo-youtube-picture');
for (var i = 0; i < pics.length; i++) addWebPFallback(pics[i]);
});
observer.observe(document.documentElement, { childList: true, subtree: true });
})();
(function(){
var siteKey = "6Ldnu_gsAAAAAGpkh7vCd_h3L9BA193yFU59I4Do";
var action = "submit_lead_form";
var loaderUrl = "https:\/\/www.google.com\/recaptcha\/enterprise.js?render=6Ldnu_gsAAAAAGpkh7vCd_h3L9BA193yFU59I4Do";
// GWP-506 (perf): the reCAPTCHA Enterprise runtime costs ~900ms of main-thread
// work (PSI contactus TBT 660ms, perf 69). It was loaded eagerly on every page
// carrying a CF7 form. It now loads on the FIRST real page interaction
// (scroll/pointer/key/touch) — warming the runtime well before the user can
// reach submit — and never loads on a no-interaction (lab) page view, so the
// perf win holds. The token is still stamped on form focusin and refreshed at
// submit. IMPORTANT: the server gate is fail-CLOSED by default (GWP-412
// require_token) — a missing token at submit is treated as spam — so the
// runtime MUST be warm before submit; that is exactly why the warm trigger is
// first-page-interaction, NOT focusin-only (focusin-only left a race where a
// fast focus→submit could POST before the ~900ms download finished and drop a
// legit lead). The eager <script src> is gone.
var greReady = false, greWaiters = [], greLoadStarted = false;
function pollGre(attempts) {
if (typeof grecaptcha !== 'undefined' && grecaptcha.enterprise) {
greReady = true;
var queued = greWaiters;
greWaiters = [];
queued.forEach(function (fn) { try { fn(); } catch (e) {} });
return;
}
if (attempts > 200) {
// no-silent-failures: enterprise.js never became ready (network-blocked,
// consent/privacy blocker, or a Google outage). Surface it — a missing
// token fails CLOSED server-side (GWP-412) and drops the lead.
if (window.console && console.warn) {
console.warn('[GMX recaptcha] enterprise.js not ready after ~10s; token will be missing (submit fails closed).');
}
return; // give up after ~10s (200 * 50ms)
}
setTimeout(function () { pollGre(attempts + 1); }, 50);
}
function loadGre() {
if (greLoadStarted) return;
greLoadStarted = true;
var s = document.createElement('script');
s.src = loaderUrl;
s.async = true;
document.head.appendChild(s);
pollGre(0); // begin polling only once the runtime is actually loading
}
function whenGreReady(cb) {
if (greReady) return cb();
greWaiters.push(cb);
}
function stampToken(form) {
if (!form.querySelector('.wpcf7-form-control-wrap input[type="submit"], .wpcf7-submit')) return;
loadGre(); // lazy: kick off enterprise.js on demand (idempotent)
whenGreReady(function () {
grecaptcha.enterprise.ready(function () {
grecaptcha.enterprise.execute(siteKey, { action: action }).then(function (token) {
var hidden = form.querySelector('input[name="gmx_recaptcha_token"]');
if (!hidden) {
hidden = document.createElement('input');
hidden.type = 'hidden';
hidden.name = 'gmx_recaptcha_token';
form.appendChild(hidden);
}
hidden.value = token;
}).catch(function () {
// no-silent-failures: token generation failed; the server gate is
// fail-CLOSED (GWP-412), so this submit will be rejected as spam.
if (window.console && console.warn) {
console.warn('[GMX recaptcha] token execute failed; submit will fail closed.');
}
});
});
});
}
document.addEventListener('wpcf7submit', function (e) { stampToken(e.target); });
// Also stamp on first focus into any CF7 form (so token ready before submit).
// `whenGreReady()` queues the stamp until grecaptcha loads, so the once-
// listener stays safe even if grecaptcha isn't ready at focus-in time.
document.querySelectorAll('form.wpcf7-form').forEach(function (form) {
form.addEventListener('focusin', function once() {
form.removeEventListener('focusin', once);
stampToken(form);
});
});
// GWP-506: warm enterprise.js on the FIRST real page interaction so the ~900ms
// runtime is ready before the user reaches submit (closes the focusin-only race
// against the fail-CLOSED server gate, and covers AJAX/popup-injected forms that
// missed the focusin binding above). Never fires on a no-interaction (lab) view,
// so the perf win holds. Idempotent via loadGre()'s greLoadStarted guard.
var warmOpts = { passive: true, capture: true };
var warmEvents = ['pointerdown', 'keydown', 'touchstart', 'scroll'];
function warmGre() {
loadGre();
warmEvents.forEach(function (e) { window.removeEventListener(e, warmGre, warmOpts); });
}
warmEvents.forEach(function (e) { window.addEventListener(e, warmGre, warmOpts); });// GWP-507 (CONFIRMED LIVE: 19 real leads dropped in 8 days): capture-phase
// submit GATE. The warm/focusin logic above only *helps* the token be ready;
// it is NOT a guarantee. The race: a user whose FIRST interaction is clicking
// submit on an autofilled form (no prior scroll/field-touch to warm the
// ~900ms enterprise.js), or who submits before the runtime readies, serializes
// the AJAX POST with an EMPTY gmx_recaptcha_token → the fail-CLOSED server gate
// (GWP-412 require_token) drops the lead as spam. CF7's `wpcf7submit` fires
// AFTER the AJAX POST (too late), and CF7 exposes no documented pre-POST JS
// hook (verified: contactform7.com/dom-events). So the ONLY seam is to
// intercept the native DOM submit/click in CAPTURE phase, HOLD it until
// greReady + token stamped, then re-dispatch. grecaptcha token lifetime is
// 2 minutes, so holding briefly is safe.
//
// TIMEOUT-FALLBACK CHOICE (a): if enterprise.js never readies within the
// ~10s ceiling (network-blocked / consent-blocker / Google outage), we
// RE-ENABLE the button and let the submit proceed WITHOUT a token rather than
// hard-blocking the user. It will fail-CLOSED server-side (GWP-412), but the
// console.warn fires loudly (no-silent-failures) — we never trap a real user
// behind a spinner they can't escape.
var GATE_TIMEOUT_MS = 10000; // matches pollGre ceiling (200 * 50ms).
function gmxFormHasToken(form) {
var hidden = form.querySelector('input[name="gmx_recaptcha_token"]');
return !!(hidden && hidden.value);
}
function gmxSetVerifying(form, on) {
var btn = form.querySelector('.wpcf7-submit, input[type="submit"], button[type="submit"]');
if (!btn) return;
if (on) {
btn.disabled = true;
btn.setAttribute('data-gmx-verifying', '1');
} else {
btn.disabled = false;
btn.removeAttribute('data-gmx-verifying');
}
}
function gmxReleaseSubmit(form) {
// Mark released so the re-dispatched submit passes straight through the
// capture gate (no re-gate loop), re-enable UX, then re-trigger.
form.__gmxGateReleased = true;
gmxSetVerifying(form, false);
if (typeof form.requestSubmit === 'function') {
form.requestSubmit();
} else {
form.dispatchEvent(new Event('submit', { bubbles: true, cancelable: true }));
}
// GWP-507 finding-1 (BLOCKER fix): reset the release flag on the NEXT tick
// so any FUTURE user submit (user edits a field + resubmits) is re-gated and
// stamps a FRESH token. reCAPTCHA tokens are single-use with a ~2-min
// lifetime — without this reset, __gmxGateReleased stayed true forever after
// the first release, letting a second submit bypass the gate and POST a
// stale/used token. The setTimeout(0) lets the synchronous re-dispatch above
// complete (which short-circuits on the still-true flag) before we re-arm.
setTimeout(function () { form.__gmxGateReleased = false; }, 0);
}
function gmxSubmitGate(e) {
var form = e.currentTarget;
if (form.tagName !== 'FORM') { form = form.form || form.closest('form.wpcf7-form'); }
if (!form) return;
// Idempotent: a programmatic re-submit we already released proceeds. This is
// the ONLY pass-through — it lets the freshly-stamped re-dispatch reach CF7.
// (The flag is reset on the next tick in gmxReleaseSubmit, so the NEXT user
// submit is re-gated.)
if (form.__gmxGateReleased) return;
// GWP-507 finding-2 (stale/used token fix): every USER submit HOLDS + stamps
// a FRESH token — we do NOT early-return on an already-present token. A token
// already sitting in the hidden input may be stale or already used (single-
// use, ~2-min lifetime); proceeding on it would POST a dead token. enterprise.js
// is warm by submit time, so grecaptcha.enterprise.execute() resolves in
// ~100-300ms — the per-submit hold is brief. stampToken() OVERWRITES the
// hidden input value (hidden.value = token), so no stale token lingers.
// HOLD: block CF7's submit handler before the AJAX POST.
e.preventDefault();
e.stopImmediatePropagation();
if (form.__gmxGateWaiting) return; // a click + submit may both fire; hold once.
form.__gmxGateWaiting = true;
loadGre(); // kick the warm if not started.
gmxSetVerifying(form, true);
var released = false;
function release(missing) {
if (released) return;
released = true;
form.__gmxGateWaiting = false;
if (missing && window.console && console.warn) {
console.warn('[GMX recaptcha] submit gate timed out (~10s); releasing without token (submit fails closed).');
}
gmxReleaseSubmit(form);
}
var timer = setTimeout(function () { release(true); }, GATE_TIMEOUT_MS);
whenGreReady(function () {
stampToken(form);
// stampToken resolves the token asynchronously (enterprise.execute
// promise); poll briefly for the stamp, then release. Bounded by the
// same overall timer above.
(function awaitStamp(n) {
if (released) return;
if (gmxFormHasToken(form)) { clearTimeout(timer); release(false); return; }
if (n > 200) { clearTimeout(timer); release(true); return; } // ~10s (200*50ms)
setTimeout(function () { awaitStamp(n + 1); }, 50);
})(0);
});
}
// GWP-507 finding-4 (CF7 phase): WHY capture phase works. Our gate listener is
// registered in CAPTURE phase (3rd arg `true`), so it runs BEFORE CF7's own
// bubble-phase 'submit' handler on the same form. When we call
// e.stopImmediatePropagation() in the capture listener, the DOM spec stops ALL
// further listeners for that event on the target — including the later
// bubble-phase CF7 handler — so CF7's AJAX POST never fires until we re-dispatch
// with a fresh token. This capture-phase interception is the only documented
// pre-POST seam: CF7 exposes no pre-POST JS hook (wpcf7submit fires AFTER the
// AJAX POST). See contactform7.com/dom-events.
document.querySelectorAll('form.wpcf7-form').forEach(function (form) {
form.addEventListener('submit', gmxSubmitGate, true);
var btn = form.querySelector('.wpcf7-submit, input[type="submit"], button[type="submit"]');
if (btn) { btn.addEventListener('click', gmxSubmitGate, true); }
});
})();
(function(){
var loaded = false;
function loadUserWay() {
if (loaded) return;
loaded = true;
var el = document.createElement('script');
el.setAttribute('data-account', "UX40fo0Ctw");
el.setAttribute('data-language', "he");
el.setAttribute('src', 'https://cdn.userway.org/widget.js');
document.body.appendChild(el);
events.forEach(function(e){ window.removeEventListener(e, loadUserWay, {passive: true}); });
}
var events = ['scroll', 'mousemove', 'touchstart', 'click', 'keydown'];
events.forEach(function(e){ window.addEventListener(e, loadUserWay, {passive: true}); });
})();
