(function () {
try {
// AQ-r2 (2026-06-09): respect the explicit-denial sentinel
// written by cookie-consent-harden.js writeATR() on any
// marketing-axis denial (payload.marketing === false; cycle-3 F1).
// Without this gate, the next page navigation re-creates
// gmx_first_touch from the current URL+referrer+utm_*+click_ids,
// silently undoing the reject-all deletion (sweep finding #1).
// The sentinel is cleared the moment the visitor grants
// marketing in the banner (analytics-only grant does NOT
// clear), restoring the writer path on the very next
// page load. Page-cache-safe: the sentinel is a
// browser-resident cookie checked in the inline script, so
// varnish/breeze-served HTML still hits this gate.
if (/(?:^|;\s*)gmx_consent_denied=1(?:;|$)/.test(document.cookie || '')) return;
var CLICK_IDS = ['gclid','fbclid','msclkid','ttclid','wbraid','gbraid','li_fat_id'];
var qs = new URLSearchParams(window.location.search);
var urlClickIdKey = null;
for (var i = 0; i < CLICK_IDS.length; i++) {
if (qs.get(CLICK_IDS[i])) { urlClickIdKey = CLICK_IDS[i]; break; }
}// Parse existing cookie.
var existing = null;
var match = document.cookie.match(/(?:^|;\s*)gmx_first_touch=([^;]+)/);
if (match) {
try { existing = JSON.parse(decodeURIComponent(match[1])); } catch (e) { existing = null; }
}// GWP-273 — referrer-enrichment branch.
// Keep existing unless either (a) URL carries a new click id
// the stored payload lacks (paid click is a higher-value
// signal and upgrades direct/organic), OR (b) the stored
// payload has empty referrer AND the current document.referrer
// is non-empty + external (Safari/ITP/policy-quirk catch:
// first-hit may have missed the referrer; later same-session
// page-loads can recover it).
var existingHasRef = !!(existing && existing.referrer && existing.referrer !== '');
var docRef = document.referrer || '';
var refHost = '';
if (docRef) {
try {
refHost = new URL(docRef).hostname.replace(/^www\./, '').toLowerCase();
} catch (e) { refHost = ''; }
}
var ownHost = (location.host || '').replace(/^www\./, '').toLowerCase();
var currentExternalRef = !!(refHost && refHost !== ownHost);
var canEnrichRef = !!existing && !existingHasRef && currentExternalRef;if (existing) {
if (!urlClickIdKey && !canEnrichRef) return;
if (urlClickIdKey && existing[urlClickIdKey] && !canEnrichRef) return;
}var utm_keys = [
'utm_source','utm_medium','utm_campaign','utm_content','utm_term',
'utm_adgroup','utm_matchtype','utm_network','utm_device','utm_placement'
];
// GWP-273 — merge-preserving base. When enriching an existing
// payload, retain its landing_url + ts + prior click ids /
// utms; only overlay referrer (and any click id appended below
// via the forEach). Branches with/without urlClickIdKey were
// collapsed — both produced the identical Object.assign — the
// click id is added uniformly later.
//
// GWP-273 design choice: "latest external referrer wins" —
// accepted edge case where a user opens a new external tab
// post-empty-first-touch and returns; low-volume, simple, no
// sentinel flag needed.
var data;
if (existing && canEnrichRef) {
data = Object.assign({}, existing, { referrer: docRef });
} else {
data = { landing_url: window.location.href, referrer: docRef, ts: Date.now() };
}
utm_keys.concat(CLICK_IDS).forEach(function (k) {
var v = qs.get(k);
if (v) data[k] = v;
});
var encoded = encodeURIComponent(JSON.stringify(data));
if (encoded.length > 3800) return;
var expires = new Date(Date.now() + 90 * 864e5).toUTCString(); // GWP-143 C1: match Google Ads 90-day attribution window
var secure = window.location.protocol === 'https:' ? '; Secure' : '';
document.cookie = 'gmx_first_touch=' + encoded + '; Path=/; Expires=' + expires + '; SameSite=Lax' + secure;
} catch (e) {}
})();
var breeze_prefetch = {"local_url":"https://gomixapp.co.il","ignore_remote_prefetch":"1","ignore_list":["/cart/","/checkout/","/my-account/","/(.)/u05d4u05d8u05d5u05e4u05e1-u05e0u05e9u05dcu05d7-u05d1u05d4u05e6u05dcu05d7u05d4/","wp-admin","wp-login.php"]};
//# sourceURL=breeze-prefetch-js-extra
שילוט דיגיטלי לקליניקות ומרפאות הוא הפתרון שמשדרג את חוויית המטופל מרגע הכניסה ועד היציאה. מערכת GoMixApp משלבת מסכים דיגיטליים LED אינטראקטיביים, לוח מודעות דיגיטלי, שילוט הכוונה חכם ומערכת ניהול תורים – כולם מנוהלים בענן, בעברית, בזמן אמת. הפתרון מותאם אישית לכל קליניקה, קופת חולים או מרפאה פרטית, ומגדיל את רמת המקצועיות בלי סיבוכים.
צריכים מערכת שילוט דיגיטלי? לפרטים ושיחה עם נציג מלאו פרטים ונחזור אליכם
שילוט חוץ דיגיטלי פרסומי למרפאה
שילוט חוץ דיגיטלי למרפאה הוא כלי שיווקי עוצמתי שמבליט אתכם מול המתחרים ומושך מטופלים חדשים. המסך מציג שירותים רפואיים, שמות הרופאים ושעות פעילות בצורה מושכת ומתחלפת, עם עדכון הודעות בזמן אמת מרחוק – כך שהמסר תמיד עדכני ומדויק. יותר מ-300 מרפאות ועסקים בישראל כבר מפעילים את הפתרון שלנו. הצטרפו גם אתם.
לוח מודעות דיגיטלי לחדר ההמתנה
לוח מודעות דיגיטלי בחדר ההמתנה יוצר חווית המתנה נעימה ואינפורמטיבית, ומחליף מודעות נייר סטטיות במסכים אלקטרוניים מתחלפים. המסך מציג מידע רפואי, עדכונים חשובים, סרטוני בריאות ותורים קרובים – כך מנצלים את זמן ההמתנה להעברת מסרים, מחזקים את הקשר עם המטופל ומפחיתים תחושת עומס. התוכן מנוהל דרך מערכת ניהול תוכן דיגיטלית, מרחוק ובכל מכשיר, ומבטיח מסר אחיד ועדכני. רוצים לראות את זה בפעולה? פנו אלינו.
שילוט חכם לחדרי המרפאה עם עדכון שוטף של זמינות החדרים
שילוט חכם לחדרים מאפשר למטופלים ולצוות להתמצא בבניין תוך שניות. כל חדר מצויד במסך המציג בזמן אמת את שם הרופא, התמחותו וזמינות החדר – פנוי, תפוס או לא פעיל. מסכים דיגיטליים לקליניקות אלו מתעדכנים אוטומטית לפי לוח הזמנים ומאפשרים שליטה מלאה מרחוק. התוצאה: פחות בלבול, פחות עומס על הצוות, וחוויית ביקור מקצועית ואמינה.
ניהול תורים והצגת מידע בזמן אמת
מערכת הודעות דיגיטלית לקליניקה מציגה בצורה ברורה ומיידית את סטטוס החדרים וזמינות הרופאים באמצעות מסכים דיגיטליים למרפאה המתעדכנים בזמן אמת. ניהול תורים דיגיטלי מייעל את הניווט במתחם, מפחית שאלות ומשפר את זרימת העבודה לאורך כל היום. ניהול התוכן מתבצע בקלות מכל מכשיר, עם שליטה מרחוק מלאה. המערכת משתלבת עם תוכנת ניהול קליניקות קיימת, חוסכת זמן לצוות ומצמצמת טעויות – כך שהתהליך כולו שקט, יעיל ורציף.
ניהול תוכן רפואי אוטומטי, עדכוני זמן המתנה ומידע למטופלים בכל חדר טיפול.
MyClinic: מסך מידע בחדר ההמתנה
מערכת תורים דיגיטלית, פרסום שירותים ומידע רפואי שוטף בלובי הקליניקה.
שילוט דיגיטלי במרפאה וטרינרית
טיפים לבעלי חיים, מבצעי שירות ומסר מותג בחדר ההמתנה.
היתרונות
תאימות לכל סוגי המסכים
הנגן שלנו תומך בכל מערכות ההפעלה והמכשירים, כולל מגוון רחב של רזולוציות מסך. הפלטפורמה מבטיחה תאימות וגמישות מלאה להצגת התכנים על כל סוגי המסכים.
מסכים חכמים עם אבטחת מידע
אנו משתמשים בהצפנה מתקדמת להעברת נתונים ומספקים יכולות ניטור והתראות בזמן אמת. כל זאת מבטיח שהמידע שלכם מוגן מפני גישה לא מורשית ומאפשר ניהול בטוח וראש שקט.
שילוט דיגיטלי עם עיצוב מרהיב
מגוון תבניות עיצוביות והתאמה אישית מלאה של עיצוב ותכנים באמצעות עורך תוכן מתקדם, המאפשר יצירת שילוט דיגיטלי מקצועי ומרשים בקלות.
שליטה על מסכים מרחוק עם עורך תוכן
עורך התוכן שלנו מציע מגוון מודולים מובנים כגון מזג אוויר, חדשות, תאריך ושעה, תמונות, סרטונים והודעות, המאפשרים יצירת תכנים מגוונים וניהול קל לחוויית משתמש מקצועית.
הפלטפורמה שלנו עומדת בתקן ISO, שמבטיח ניהול מידע בסטנדרטים הגבוהים ביותר. התקן כולל נהלי אבטחה מחמירים לניהול מידע, בקרת גישה, והגנה מפני איומים פוטנציאליים, מה שמבטיח שהמידע שלכם מוגן בצורה מיטבית.
קבלת עדכונים למסכים החכמים
התראות על ניתוקים בפעילות המסכים נשלחות ישירות למייל שלך, מה שמאפשר תגובה מהירה ותיקון מיידי, משפר את זמינות השילוט ומצמצם את זמן ההשבתה.
בין לקוחותינו
לקוחות ממליצים
פנחס
ועד בית, רמלה
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"עם הסרטונים לחגים פשוט שיחקתם אותה – הדיירים ממש התלהבו!"
מור
מוסד אקדמי
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"לוח המודעות הדיגיטלי נראה מדהים, והכל עובד חלק!"
ענבר שמואלי
בעלת עסק
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"שרות אישי ומקצועי, מענה מהיר, מוצר מעולה, מרוצה מאוד"
מטופלת אינטראקטיבית מול מסך שילוט דיגיטלי בקליניקה – GoMixApp.
מסכים דיגיטליים למרפאה – היתרונות המרכזיים לצוות ולמטופלים
מסכים דיגיטליים למרפאה ולקליניקה פרטית מביאים ערך מוסף מיידי לשני הצדדים: הצוות הרפואי נהנה מניהול תורים ותזמון פגישות אוטומטי, והמטופל מקבל מידע ברור וקריא בכל שלב בביקור. נכון ל-2026, מרפאות שיניים, מרכזי בדיקות דם ומרכזי טיפול פרטיים מאמצים את הטכנולוגיה בקצב גבוה מתמיד, לפי נתוני פדרציית השילוט הדיגיטלי.
עדכון הודעות בזמן אמת – ללא הדפסות, ללא עיכובים
שילוב עם מערכות ניהול קליניקות קיימות ללא תשתית חדשה
מסכים אינטראקטיביים לחדרים המאפשרים ניהול תוכן ממוקד לכל מחלקה
שילוט אלקטרוני למרפאה – איך זה עובד בפועל?
שילוט אלקטרוני למרפאה של GoMixApp מתבסס על מערכת ניהול תוכן דיגיטלית בענן, המאפשרת לכל מנהל קליניקה לעדכן תכנים, שעות ומסרים תוך דקות, מכל מחשב או טלפון. לוח הודעות אלקטרוני המוצב בכניסה או בחדרי ההמתנה מציג מידע מותאם אישית ומסונכרן עם מערכת ניהול התורים, כך שכל שינוי בלוח הזמנים מתעדכן אוטומטית על המסכים.
בחרו את סוג המסך המתאים: לוח מודעות דיגיטלי לחדר ההמתנה, מסך כוונה לפתח, או שילוט קומות והכוונה דיגיטלי לבניין מרובה קומות.
חברו את המסך למערכת הענן של GoMixApp – ההתקנה אורכת פחות משעה ואינה דורשת ידע טכני.
העלו תכנים, לוחות זמנים ושמות רופאים דרך ממשק ניהול פשוט ואינטואיטיבי.
עדכנו בזמן אמת מכל מכשיר – כל שינוי מופיע על המסך בשניות.
מסכי מידע חכמים במרפאה מקצרים את תחושת זמן ההמתנה של המטופלים.
עדכון תוכן פרסומי בזמן אמת מגביר מכירת טיפולים ושירותים רפואיים.
שילוט אלקטרוני בחדר המתנה מפחית שאלות חוזרות לצוות הקליניקה.
ניהול מרכזי של מספר מסכים חוסך זמן יקר לצוות המנהלי.
תצוגות דיגיטליות מותאמות מחזקות את המיתוג וייחודיות המרפאה.
שאלות נפוצות
מה כולל שילוט דיגיטלי לקליניקות ומרפאות?
שילוט דיגיטלי לקליניקות ומרפאות כולל מסכים דיגיטליים LED לחדרי המתנה, לוח מודעות דיגיטלי, שילוט חכם לחדרים, מסכי כוונה בכניסה ומערכת ניהול תורים דיגיטלי – כולם מנוהלים מרחוק דרך ממשק ענן בעברית.
כמה זמן לוקחת התקנת מסכים דיגיטליים במרפאה?
ההתקנה אורכת בדרך כלל פחות משעה לכל מסך. המערכת קלה להתקנה וללא צורך בתחזוקה מורכבת, ואינה מצריכה ידע טכני מיוחד מצד הצוות.
האם ניתן לשלב את המסכים עם תוכנת ניהול הקליניקה הקיימת?
כן. מערכת GoMixApp מתוכננת לשילוב עם מערכות ניהול קליניקות קיימות, כך שעדכוני לוח הזמנים והתורים מסונכרנים אוטומטית עם המסכים ללא צורך בהזנה ידנית כפולה.
האם שילוט אלקטרוני לחדרי המתנה מתאים גם למרפאות שיניים ומרכזי בדיקות?
בהחלט. הפתרון מותאם למגוון רחב של סביבות רפואיות: מרפאות שיניים, מרכזי בדיקות דם, קופות חולים, מרכזי טיפול פרטיים ובתי חולים – לכל אחד ניתן להתאים את התוכן, העיצוב ולוח הזמנים.
מה ההבדל בין לוח מודעות דיגיטלי ללוח נייר רגיל?
לוח מודעות דיגיטלי מתעדכן בזמן אמת מרחוק, מציג תוכן מתחלף ומגוון כולל וידאו ואנימציה, ואינו דורש הדפסות. לעומתו, לוח נייר סטטי מיושן מהר, יקר לתחזוקה ואינו מאפשר עדכון מיידי של מידע חיוני.
השוואה בין פתרונות שילוט דיגיטלי לקליניקות
תכונה
שילוט דיגיטלי מתקדם
שילוט סטטי מסורתי
מסך טלוויזיה רגיל
עדכון תוכן מרחוק
✓עדכון מיידי מכל מקום בזמן אמת
✗דורש החלפה פיזית של חומרי הדפסה
✗אין מערכת ניהול תוכן מובנית
תאימות לסוגי מסכים שונים
✓תואם לכל גדלי המסכים והרזולוציות
✗מותאם לגודל קבוע בלבד
✗תצוגה חלקית ללא התאמה מלאה
אבטחת מידע ותקן ISO 27001
✓עומד בתקן אבטחה בינלאומי מוכר
✗אין מידע דיגיטלי לאבטחה
✗אין תקן אבטחת מידע מוגדר
עיצוב ומיתוג הקליניקה
✓עיצוב מותאם אישית למותג הקליניקה
✗עיצוב אחיד וגנרי בלבד
✗ממשק בסיסי ללא אפשרויות עיצוב
תוכן דינמי ומתזמן
✓תזמון תוכן אוטומטי לפי שעה ויום
✗תוכן קבוע ולא ניתן לשינוי מהיר
✗נדרשת הפעלה ידנית לכל שינוי
התקנה ותמיכה טכנית
✓התקנה מקצועית עם תמיכה שוטפת
✗תחזוקה תכופה ויקרה
✗תמיכה מוגבלת לתקלות חומרה בלבד
לסיכום: פתרון המסכים החכם לכל מרפאה וקליניקה
מסכים דיגיטליים לקליניקות ומרפאות הם כבר לא יוקרה – הם כלי תפעולי חיוני שמשפיע ישירות על שביעות רצון המטופל, יעילות הצוות והדימוי המקצועי של המרפאה. מערכת הודעות דיגיטלית לקליניקה מקצרת תורי המתנה, מפחיתה פניות חוזרות לדלפק ומשפרת את הזרימה בכל מתחם רפואי – מרופא משפחה ועד בית חולים. שילוט אלקטרוני לחדרי המתנה, שילוב עם תוכנת ניהול קליניקות קיימת, ועדכון תוכן בזמן אמת – אלו הם שלושת העמודים שעליהם בנוי הפתרון שלנו, ועל בסיסם משרתת GoMixApp יותר מ-300 לקוחות ברחבי ישראל. רוצים לראות איך הפתרון יראה אצלכם? צרו קשר עוד היום ונשמח לתת הדגמה חינמית.
document.addEventListener('click', function(e) {
var el = e.target.closest('.gmx-lite-yt');
if (!el) return;
var vid = el.getAttribute('data-vid');
if (!vid) return;
var iframe = document.createElement('iframe');
iframe.src = 'https://www.youtube.com/embed/' + vid + '?autoplay=1';
iframe.style.cssText = 'position:absolute;top:0;left:0;width:100%;height:100%;border:0;';
iframe.allow = 'autoplay;encrypted-media';
iframe.allowFullscreen = true;
el.style.position = 'relative';
el.innerHTML = '';
el.appendChild(iframe);
});
(function () {
var c = document.body.className;
c = c.replace(/woocommerce-no-js/, 'woocommerce-js');
document.body.className = c;
})();
var gmxCf7LegacyUxI18n = {"errName":"Please enter a full name","errPhone":"Please enter a valid phone number","errEmail":"Please enter a valid email address","errRequired":"Required field"};
//# sourceURL=gmx-cf7-legacy-ux-js-extra
(function(){
function cleanUrl(url) {
// Strip query params embedded mid-path: /ID?params/file -> /ID/file
return url.replace(/\?[^\/]+\//g, '/');
}
function addWebPFallback(pic) {
if (pic.getAttribute('data-webp-fb')) return;
pic.setAttribute('data-webp-fb', '1');
var img = pic.querySelector('img');
if (!img) return;
img.onerror = function() {
this.onerror = null;
this.src = cleanUrl(this.src).replace('vi_webp','vi').replace('.webp','.jpg');
var sources = this.parentElement.querySelectorAll('source');
for (var i = 0; i < sources.length; i++) {
sources[i].srcset = cleanUrl(sources[i].srcset).replace('vi_webp','vi').replace('.webp','.jpg');
}
};
}
var observer = new MutationObserver(function() {
var pics = document.querySelectorAll('.video-seo-youtube-picture');
for (var i = 0; i < pics.length; i++) addWebPFallback(pics[i]);
});
observer.observe(document.documentElement, { childList: true, subtree: true });
})();
(function(){
var siteKey = "6Ldnu_gsAAAAAGpkh7vCd_h3L9BA193yFU59I4Do";
var action = "submit_lead_form";
var loaderUrl = "https:\/\/www.google.com\/recaptcha\/enterprise.js?render=6Ldnu_gsAAAAAGpkh7vCd_h3L9BA193yFU59I4Do";
// GWP-506 (perf): the reCAPTCHA Enterprise runtime costs ~900ms of main-thread
// work (PSI contactus TBT 660ms, perf 69). It was loaded eagerly on every page
// carrying a CF7 form. It now loads on the FIRST real page interaction
// (scroll/pointer/key/touch) — warming the runtime well before the user can
// reach submit — and never loads on a no-interaction (lab) page view, so the
// perf win holds. The token is still stamped on form focusin and refreshed at
// submit. IMPORTANT: the server gate is fail-CLOSED by default (GWP-412
// require_token) — a missing token at submit is treated as spam — so the
// runtime MUST be warm before submit; that is exactly why the warm trigger is
// first-page-interaction, NOT focusin-only (focusin-only left a race where a
// fast focus→submit could POST before the ~900ms download finished and drop a
// legit lead). The eager <script src> is gone.
var greReady = false, greWaiters = [], greLoadStarted = false;
function pollGre(attempts) {
if (typeof grecaptcha !== 'undefined' && grecaptcha.enterprise) {
greReady = true;
var queued = greWaiters;
greWaiters = [];
queued.forEach(function (fn) { try { fn(); } catch (e) {} });
return;
}
if (attempts > 200) {
// no-silent-failures: enterprise.js never became ready (network-blocked,
// consent/privacy blocker, or a Google outage). Surface it — a missing
// token fails CLOSED server-side (GWP-412) and drops the lead.
if (window.console && console.warn) {
console.warn('[GMX recaptcha] enterprise.js not ready after ~10s; token will be missing (submit fails closed).');
}
return; // give up after ~10s (200 * 50ms)
}
setTimeout(function () { pollGre(attempts + 1); }, 50);
}
function loadGre() {
if (greLoadStarted) return;
greLoadStarted = true;
var s = document.createElement('script');
s.src = loaderUrl;
s.async = true;
document.head.appendChild(s);
pollGre(0); // begin polling only once the runtime is actually loading
}
function whenGreReady(cb) {
if (greReady) return cb();
greWaiters.push(cb);
}
function stampToken(form) {
if (!form.querySelector('.wpcf7-form-control-wrap input[type="submit"], .wpcf7-submit')) return;
loadGre(); // lazy: kick off enterprise.js on demand (idempotent)
whenGreReady(function () {
grecaptcha.enterprise.ready(function () {
grecaptcha.enterprise.execute(siteKey, { action: action }).then(function (token) {
var hidden = form.querySelector('input[name="gmx_recaptcha_token"]');
if (!hidden) {
hidden = document.createElement('input');
hidden.type = 'hidden';
hidden.name = 'gmx_recaptcha_token';
form.appendChild(hidden);
}
hidden.value = token;
}).catch(function () {
// no-silent-failures: token generation failed; the server gate is
// fail-CLOSED (GWP-412), so this submit will be rejected as spam.
if (window.console && console.warn) {
console.warn('[GMX recaptcha] token execute failed; submit will fail closed.');
}
});
});
});
}
document.addEventListener('wpcf7submit', function (e) { stampToken(e.target); });
// Also stamp on first focus into any CF7 form (so token ready before submit).
// `whenGreReady()` queues the stamp until grecaptcha loads, so the once-
// listener stays safe even if grecaptcha isn't ready at focus-in time.
document.querySelectorAll('form.wpcf7-form').forEach(function (form) {
form.addEventListener('focusin', function once() {
form.removeEventListener('focusin', once);
stampToken(form);
});
});
// GWP-506: warm enterprise.js on the FIRST real page interaction so the ~900ms
// runtime is ready before the user reaches submit (closes the focusin-only race
// against the fail-CLOSED server gate, and covers AJAX/popup-injected forms that
// missed the focusin binding above). Never fires on a no-interaction (lab) view,
// so the perf win holds. Idempotent via loadGre()'s greLoadStarted guard.
var warmOpts = { passive: true, capture: true };
var warmEvents = ['pointerdown', 'keydown', 'touchstart', 'scroll'];
function warmGre() {
loadGre();
warmEvents.forEach(function (e) { window.removeEventListener(e, warmGre, warmOpts); });
}
warmEvents.forEach(function (e) { window.addEventListener(e, warmGre, warmOpts); });// GWP-507 (CONFIRMED LIVE: 19 real leads dropped in 8 days): capture-phase
// submit GATE. The warm/focusin logic above only *helps* the token be ready;
// it is NOT a guarantee. The race: a user whose FIRST interaction is clicking
// submit on an autofilled form (no prior scroll/field-touch to warm the
// ~900ms enterprise.js), or who submits before the runtime readies, serializes
// the AJAX POST with an EMPTY gmx_recaptcha_token → the fail-CLOSED server gate
// (GWP-412 require_token) drops the lead as spam. CF7's `wpcf7submit` fires
// AFTER the AJAX POST (too late), and CF7 exposes no documented pre-POST JS
// hook (verified: contactform7.com/dom-events). So the ONLY seam is to
// intercept the native DOM submit/click in CAPTURE phase, HOLD it until
// greReady + token stamped, then re-dispatch. grecaptcha token lifetime is
// 2 minutes, so holding briefly is safe.
//
// TIMEOUT-FALLBACK CHOICE (a): if enterprise.js never readies within the
// ~10s ceiling (network-blocked / consent-blocker / Google outage), we
// RE-ENABLE the button and let the submit proceed WITHOUT a token rather than
// hard-blocking the user. It will fail-CLOSED server-side (GWP-412), but the
// console.warn fires loudly (no-silent-failures) — we never trap a real user
// behind a spinner they can't escape.
var GATE_TIMEOUT_MS = 10000; // matches pollGre ceiling (200 * 50ms).
function gmxFormHasToken(form) {
var hidden = form.querySelector('input[name="gmx_recaptcha_token"]');
return !!(hidden && hidden.value);
}
function gmxSetVerifying(form, on) {
var btn = form.querySelector('.wpcf7-submit, input[type="submit"], button[type="submit"]');
if (!btn) return;
if (on) {
btn.disabled = true;
btn.setAttribute('data-gmx-verifying', '1');
} else {
btn.disabled = false;
btn.removeAttribute('data-gmx-verifying');
}
}
function gmxReleaseSubmit(form) {
// Mark released so the re-dispatched submit passes straight through the
// capture gate (no re-gate loop), re-enable UX, then re-trigger.
form.__gmxGateReleased = true;
gmxSetVerifying(form, false);
if (typeof form.requestSubmit === 'function') {
form.requestSubmit();
} else {
form.dispatchEvent(new Event('submit', { bubbles: true, cancelable: true }));
}
// GWP-507 finding-1 (BLOCKER fix): reset the release flag on the NEXT tick
// so any FUTURE user submit (user edits a field + resubmits) is re-gated and
// stamps a FRESH token. reCAPTCHA tokens are single-use with a ~2-min
// lifetime — without this reset, __gmxGateReleased stayed true forever after
// the first release, letting a second submit bypass the gate and POST a
// stale/used token. The setTimeout(0) lets the synchronous re-dispatch above
// complete (which short-circuits on the still-true flag) before we re-arm.
setTimeout(function () { form.__gmxGateReleased = false; }, 0);
}
function gmxSubmitGate(e) {
var form = e.currentTarget;
if (form.tagName !== 'FORM') { form = form.form || form.closest('form.wpcf7-form'); }
if (!form) return;
// Idempotent: a programmatic re-submit we already released proceeds. This is
// the ONLY pass-through — it lets the freshly-stamped re-dispatch reach CF7.
// (The flag is reset on the next tick in gmxReleaseSubmit, so the NEXT user
// submit is re-gated.)
if (form.__gmxGateReleased) return;
// GWP-507 finding-2 (stale/used token fix): every USER submit HOLDS + stamps
// a FRESH token — we do NOT early-return on an already-present token. A token
// already sitting in the hidden input may be stale or already used (single-
// use, ~2-min lifetime); proceeding on it would POST a dead token. enterprise.js
// is warm by submit time, so grecaptcha.enterprise.execute() resolves in
// ~100-300ms — the per-submit hold is brief. stampToken() OVERWRITES the
// hidden input value (hidden.value = token), so no stale token lingers.
// HOLD: block CF7's submit handler before the AJAX POST.
e.preventDefault();
e.stopImmediatePropagation();
if (form.__gmxGateWaiting) return; // a click + submit may both fire; hold once.
form.__gmxGateWaiting = true;
loadGre(); // kick the warm if not started.
gmxSetVerifying(form, true);
var released = false;
function release(missing) {
if (released) return;
released = true;
form.__gmxGateWaiting = false;
if (missing && window.console && console.warn) {
console.warn('[GMX recaptcha] submit gate timed out (~10s); releasing without token (submit fails closed).');
}
gmxReleaseSubmit(form);
}
var timer = setTimeout(function () { release(true); }, GATE_TIMEOUT_MS);
whenGreReady(function () {
stampToken(form);
// stampToken resolves the token asynchronously (enterprise.execute
// promise); poll briefly for the stamp, then release. Bounded by the
// same overall timer above.
(function awaitStamp(n) {
if (released) return;
if (gmxFormHasToken(form)) { clearTimeout(timer); release(false); return; }
if (n > 200) { clearTimeout(timer); release(true); return; } // ~10s (200*50ms)
setTimeout(function () { awaitStamp(n + 1); }, 50);
})(0);
});
}
// GWP-507 finding-4 (CF7 phase): WHY capture phase works. Our gate listener is
// registered in CAPTURE phase (3rd arg `true`), so it runs BEFORE CF7's own
// bubble-phase 'submit' handler on the same form. When we call
// e.stopImmediatePropagation() in the capture listener, the DOM spec stops ALL
// further listeners for that event on the target — including the later
// bubble-phase CF7 handler — so CF7's AJAX POST never fires until we re-dispatch
// with a fresh token. This capture-phase interception is the only documented
// pre-POST seam: CF7 exposes no pre-POST JS hook (wpcf7submit fires AFTER the
// AJAX POST). See contactform7.com/dom-events.
document.querySelectorAll('form.wpcf7-form').forEach(function (form) {
form.addEventListener('submit', gmxSubmitGate, true);
var btn = form.querySelector('.wpcf7-submit, input[type="submit"], button[type="submit"]');
if (btn) { btn.addEventListener('click', gmxSubmitGate, true); }
});
})();
(function(){
var loaded = false;
function loadUserWay() {
if (loaded) return;
loaded = true;
var el = document.createElement('script');
el.setAttribute('data-account', "UX40fo0Ctw");
el.setAttribute('data-language', "he");
el.setAttribute('src', 'https://cdn.userway.org/widget.js');
document.body.appendChild(el);
events.forEach(function(e){ window.removeEventListener(e, loadUserWay, {passive: true}); });
}
var events = ['scroll', 'mousemove', 'touchstart', 'click', 'keydown'];
events.forEach(function(e){ window.addEventListener(e, loadUserWay, {passive: true}); });
})();
