(function () {
try {
// AQ-r2 (2026-06-09): respect the explicit-denial sentinel
// written by cookie-consent-harden.js writeATR() on any
// marketing-axis denial (payload.marketing === false; cycle-3 F1).
// Without this gate, the next page navigation re-creates
// gmx_first_touch from the current URL+referrer+utm_*+click_ids,
// silently undoing the reject-all deletion (sweep finding #1).
// The sentinel is cleared the moment the visitor grants
// marketing in the banner (analytics-only grant does NOT
// clear), restoring the writer path on the very next
// page load. Page-cache-safe: the sentinel is a
// browser-resident cookie checked in the inline script, so
// varnish/breeze-served HTML still hits this gate.
if (/(?:^|;\s*)gmx_consent_denied=1(?:;|$)/.test(document.cookie || '')) return;
var CLICK_IDS = ['gclid','fbclid','msclkid','ttclid','wbraid','gbraid','li_fat_id'];
var qs = new URLSearchParams(window.location.search);
var urlClickIdKey = null;
for (var i = 0; i < CLICK_IDS.length; i++) {
if (qs.get(CLICK_IDS[i])) { urlClickIdKey = CLICK_IDS[i]; break; }
}// Parse existing cookie.
var existing = null;
var match = document.cookie.match(/(?:^|;\s*)gmx_first_touch=([^;]+)/);
if (match) {
try { existing = JSON.parse(decodeURIComponent(match[1])); } catch (e) { existing = null; }
}// GWP-273 — referrer-enrichment branch.
// Keep existing unless either (a) URL carries a new click id
// the stored payload lacks (paid click is a higher-value
// signal and upgrades direct/organic), OR (b) the stored
// payload has empty referrer AND the current document.referrer
// is non-empty + external (Safari/ITP/policy-quirk catch:
// first-hit may have missed the referrer; later same-session
// page-loads can recover it).
var existingHasRef = !!(existing && existing.referrer && existing.referrer !== '');
var docRef = document.referrer || '';
var refHost = '';
if (docRef) {
try {
refHost = new URL(docRef).hostname.replace(/^www\./, '').toLowerCase();
} catch (e) { refHost = ''; }
}
var ownHost = (location.host || '').replace(/^www\./, '').toLowerCase();
var currentExternalRef = !!(refHost && refHost !== ownHost);
var canEnrichRef = !!existing && !existingHasRef && currentExternalRef;if (existing) {
if (!urlClickIdKey && !canEnrichRef) return;
if (urlClickIdKey && existing[urlClickIdKey] && !canEnrichRef) return;
}var utm_keys = [
'utm_source','utm_medium','utm_campaign','utm_content','utm_term',
'utm_adgroup','utm_matchtype','utm_network','utm_device','utm_placement'
];
// GWP-273 — merge-preserving base. When enriching an existing
// payload, retain its landing_url + ts + prior click ids /
// utms; only overlay referrer (and any click id appended below
// via the forEach). Branches with/without urlClickIdKey were
// collapsed — both produced the identical Object.assign — the
// click id is added uniformly later.
//
// GWP-273 design choice: "latest external referrer wins" —
// accepted edge case where a user opens a new external tab
// post-empty-first-touch and returns; low-volume, simple, no
// sentinel flag needed.
var data;
if (existing && canEnrichRef) {
data = Object.assign({}, existing, { referrer: docRef });
} else {
data = { landing_url: window.location.href, referrer: docRef, ts: Date.now() };
}
utm_keys.concat(CLICK_IDS).forEach(function (k) {
var v = qs.get(k);
if (v) data[k] = v;
});
var encoded = encodeURIComponent(JSON.stringify(data));
if (encoded.length > 3800) return;
var expires = new Date(Date.now() + 90 * 864e5).toUTCString(); // GWP-143 C1: match Google Ads 90-day attribution window
var secure = window.location.protocol === 'https:' ? '; Secure' : '';
document.cookie = 'gmx_first_touch=' + encoded + '; Path=/; Expires=' + expires + '; SameSite=Lax' + secure;
} catch (e) {}
})();
var breeze_prefetch = {"local_url":"https://gomixapp.co.il","ignore_remote_prefetch":"1","ignore_list":["/cart/","/checkout/","/my-account/","/(.)/u05d4u05d8u05d5u05e4u05e1-u05e0u05e9u05dcu05d7-u05d1u05d4u05e6u05dcu05d7u05d4/","wp-admin","wp-login.php"]};
//# sourceURL=breeze-prefetch-js-extra
ב-GoMixApp אנו גאים להציע מגוון רחב של פתרונות דיגיטליים המספקים מענה מקצה לקצה לצרכים השונים של מנהלי משאבי אנוש. הפתרונות שלנו תוכננו במיוחד כדי לשפר את חוויית העובדים ולהעצים את הארגון כולו. בין היתר, אנו מספקים עמדות אינטראקטיביות לאירועים, כרטיסי ביקור דיגיטליים, שילוט דיגיטלי פנים ארגוני, טפסי עובד דיגיטליים ועמדות מיינדפולנס אינטראקטיביות. באמצעות הפתרונות שלנו, מנהלי משאבי אנוש יכולים ליצור סביבה דיגיטלית מתקדמת המקדמת מעורבות ושביעות רצון בקרב העובדים, תוך התייעלות ונוחות בניהול המשאבים האנושיים בארגון. GoMixApp היא השותפה האידיאלית לשדרוג חוויית העובדים והארגון כולו בעזרת טכנולוגיה מתקדמת ומותאמת אישית.
מעוניינים בפתרון דיגיטלי? לפרטים ושיחה עם נציג מלאו פרטים ונחזור אליכם
פתרונות דיגיטליים פנים ארגוניים
1
טפסים דיגיטליים לעובדים
מערכת הטפסים הדיגיטליים שלנו מאפשרת לניהול טפסים בחברה להתבצע בצורה מאובטחת ומהירה – ללא נייר וללא בירוקרטיה מיותרת. מנהלי HR יכולים להחתים עובדים על טפסים מאובטחים כגון טופס 101, טופס העסקה, טופס חופשה וטופס הלוואה – מכל מכשיר ומכל מקום. המערכת כוללת עיצוב ומיתוג בהתאמה אישית, תמיכה במגוון שפות, תאימות לכל סוגי המכשירים, סבבי חתימות ואפשרות לצירוף תמונות ישירות לטפסים. כך ניתן לממש פתרונות HR דיגיטליים אמיתיים שמשנים את חוויית העובד מהיום הראשון.
היתרונות
נוחות וגמישות: טפסים זמינים מכל מקום ובכל מכשיר, מאפשרים גישה מהירה ונוחה.
חיסכון בזמן: יצירה ועדכון טפסים במהירות, ללא צורך בניירת או תוכנות נוספות.
אבטחה גבוהה: שמירה מאובטחת בענן עם גיבויים אוטומטיים.
ייעול תהליכי עבודה: ניהול מרכזי של הטפסים, משפר את היעילות ומפחית את זמן התגובה.
חוויית משתמש משופרת: טפסים מעוצבים מקצועית מגבירים את שביעות הרצון והשלמת הטפסים.
ב-GoMixApp אנו מספקים תשתית מקיפה לעמדות אינטראקטיביות חווייתיות המותאמות אישית לעובדים באירועים וכנסים פנים ארגוניים. השירות שלנו כולל פתרון מקצה לקצה, החל מהקריאטיב והעיצוב, דרך ההטמעה והשכרת הציוד ועד לתמיכה טכנית מלאה במהלך האירוע. עמדות האינטראקטיביות שלנו מספקות חוויות דיגיטליות ייחודיות, כגון משחקים, פרסים פרסונליים, משחקי טריוויה, שמעשירות את האירוע ומגייסות מעורבות גבוהה מצד העובדים.
היתרונות
פיתוח מיומנויות תקשורת ושיתוף פעולה בין העובדים.
חיזוק הקשר והכימיה בצוותים.
יצירת חוויות חיוביות וזיכרונות משותפים בתוך הארגון.
שיפור המוטיבציה והמעורבות של העובדים בפעילויות ארגוניות.
פתרון שילוט דיגיטלי פנים-ארגוני לחברות – כלי מרכזי בדיגיטליזציה של תהליכים ארגוניים. השירות כולל רכישת מסכים איכותיים, נגן מדיה לשליטה בתכנים, ניהול מרחוק ותמיכה טכנית מלאה. הפתרון מאפשר להעביר מסרים ארגוניים בצורה דינמית ואפקטיבית – בהתאמה מלאה לשפת המותג. למידע נוסף ראו את מדריך שילוט דיגיטלי עם AI.
היתרונות
שיפור התקשורת הפנים-ארגונית: שילוט דיגיטלי מאפשר העברת מידע מהירה וברורה לכל העובדים.
הגברת מעורבות העובדים: תכנים מותאמים אישית ומידע עדכני מגבירים את תחושת השייכות והמעורבות של העובדים.
קידום תרבות ארגונית חיובית: מסרים חיוביים ותוכן מעודד תורמים ליצירת סביבה עבודה נעימה ותומכת.
שיפור ביצועי העובדים: גישה למידע חשוב ומדויק בזמן אמת מסייעת לעובדים להיות יעילים וממוקדים.
חיזוק קשרים חברתיים: שילוט דיגיטלי יכול לשמש כלי לקידום אירועים חברתיים ופעילויות משותפות, ולחזק את הקשרים בין העובדים.
כרטיסי הביקור הדיגיטליים של GoMixApp מעצימים את העובדים ומקדמים את מיתוג הארגון. הם מתעדכנים בזמן אמת, אינם מצריכים הדפסה ומשתלבים בצורה חלקה עם פורטל העובדים הדיגיטלי. ניהול נתוני העובדים נשמר מרכזי, מאובטח ומוכן לכל שינוי ארגוני.
היתרונות
עיצוב מרהיב ומקצועי בהתאמה אישית ע"י הסטודיו שלנו
תמיכה בשפות
הדפסת כרטיס NFC ממותג או מדבקת NFC
שילוב מגוון רחב של מודולים: טקסט, גלרייה, סרטונים ועוד
GoMixApp מייצרת עמדת מיינדפולנס לעובדים הכוללת מסך מגע עם פעילויות למדיטציה ורוגע. העמדה ניתנת להצבה בפנים או בחוץ ומאפשרת לעובדים שטח רגוע להתחדשות – תרומה ישירה לרווחת העובד ולשימורו בארגון.
This image captures a positive, real-world example of HR technology in action.
יתרונות המעבר לניהול מסמכי עובד אלקטרוניים
מערכת ניהול מסמכים דיגיטלית (DMS) משנה את האופן שבו ארגונים מנהלים את תיקי העובדים. במקום תיקיות נייר פיזיות ותהליכי אישור ידניים, פורטל העובדים הדיגיטלי מרכז את כל המסמכים במקום אחד – נגיש, מאובטח ומבוקר גישה. תהליכי אישור וחתימה דיגיטלית מתבצעים תוך דקות, ולא ימים.
היתרונות המרכזיים של מעבר למערכת טפסים למשאבי אנוש מלאה:
חיסכון של עד 70% בזמן מילוי ועיבוד טפסי עובד
ביטול שגיאות ידניות וכפילויות בנתונים
אוטומציה של תהליכים עסקיים (BPA) – תזכורות, אישורים ושמירה אוטומטית
ניתוח נתונים של משאבי אנוש (HR Analytics) לקבלת החלטות מבוססת נתונים
ארגון תיקי עובדים אלקטרוניים הוא אחד האתגרים הגדולים ביותר עבור מנהלי HR בחברות עם מאות עובדים. מערכת ניהול מסמכים (DMS) משולבת עם אוטומציה של תהליכים עסקיים (BPA) מאפשרת לנהל את מחזור חיי העובד המלא – מאונבורדינג ועד אופבורדינג – בצורה מסודרת, מהירה ומאובטחת.
השלבים המומלצים לדיגיטציה של תהליכים ארגוניים בתחום HR:
מיפוי כל הטפסים הקיימים וזיהוי הטפסים הנפוצים ביותר
העברה לפורמט דיגיטלי עם עיצוב ומיתוג ארגוני
הגדרת תהליכי אישור וחתימה דיגיטלית אוטומטיים
אינטגרציה עם מערכת ניהול משאבי אנוש (HRMS) קיימת
הדרכת העובדים ומנהלי HR לשימוש בפורטל העובדים הדיגיטלי
ניטור ו-HR Analytics לשיפור מתמיד של התהליכים
GoMixApp מלווה אתכם בכל שלב – מהייעוץ הראשוני ועד לתמיכה שוטפת. דברו איתנו על הצרכים הספציפיים של הארגון שלכם.
לקוחות ממליצים
פנחס
ועד בית, רמלה
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"עם הסרטונים לחגים פשוט שיחקתם אותה – הדיירים ממש התלהבו!"
מור
מוסד אקדמי
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"לוח המודעות הדיגיטלי נראה מדהים, והכל עובד חלק!"
ענבר שמואלי
בעלת עסק
שירות:
★★★★★
מוצר:
★★★★★
המלצה:
★★★★★
"שרות אישי ומקצועי, מענה מהיר, מוצר מעולה, מרוצה מאוד"
נקודות מפתח
טפסי גיוס מקוונים מקצרים את זמן קליטת עובדים חדשים בעשרות אחוזים.
אוטומציה של טפסי HR מפחיתה שגיאות אנוש ומשפרת דיוק הנתונים.
חתימה אלקטרונית על מסמכי כוח אדם חוסכת ביורוקרטיה ומייעלת תהליכים.
ניהול בקשות חופשה ונוכחות דרך פלטפורמות דיגיטליות משפר שקיפות ארגונית.
אינטגרציה של טפסי שכר ומשאבי אנוש עם מערכות ERP מונעת כפילויות נתונים.
שאלות נפוצות
מה זה טפסים דיגיטליים למשאבי אנוש ואיך הם עובדים?
טפסים דיגיטליים למשאבי אנוש הם מסמכים אלקטרוניים המחליפים טפסי נייר בתהליכי HR – כגון טופס 101, חוזה העסקה וטופס חופשה. העובד ממלא וחותם דיגיטלית מכל מכשיר, והמסמך נשמר אוטומטית במערכת הניהול הארגונית.
אילו תהליכי HR ניתן לנהל באמצעות מערכת טפסים דיגיטלית?
ניתן לנהל את מחזור חיי העובד המלא: קליטה (אונבורדינג), חוזי עבודה, טפסי 101, בקשות חופשה, טפסי הלוואה, סקרי שביעות רצון, הערכות ביצוע ותהליכי פרידה (אופבורדינג). האוטומציה מאפשרת ניהול טפסים בחברה ללא נייר וללא עיכובים.
האם מערכת ניהול משאבי אנוש דיגיטלית מתאימה לחברות קטנות?
הפתרון מתאים לכל גודל ארגון, אך הוא בעל ערך גבוה במיוחד בחברות בינוניות וגדולות עם עשרות ומאות עובדים. לחברות קטנות, ניתן להתחיל עם חבילת בסיס ולהרחיב בהתאם לצמיחה.
כיצד לארגן תיקי עובדים אלקטרוניים בצורה בטוחה?
מערכת ניהול מסמכים (DMS) של GoMixApp כוללת הצפנה, בקרת גישה מבוססת תפקידים ועמידה בתקני ISO 27001. כל מסמך מאוחסן בענן מאובטח עם מסלול ביקורת מלא – בהתאם לדרישות הגנת הפרטיות הישראליות.
מה ההבדל בין מערכת HRMS לבין פורטל עובדים דיגיטלי?
מערכת HRMS (Human Resource Management System) היא פלטפורמה כוללת לניהול נתוני עובדים, שכר ונוכחות. פורטל עובדים דיגיטלי הוא הממשק שדרכו העובדים ממלאים טפסים, צופים בתלושים ומגישים בקשות. GoMixApp מספקת פורטל משולב שמתחבר לכל מערכת HRMS קיימת.
טפסים דיגיטליים לעומת טפסי נייר מסורתיים – השוואה למנהלי HR
קריטריון
פתרון דיגיטלי (GoMixApp)
טפסי נייר מסורתיים
זמן עיבוד טופס
✓דקות בודדות עם חתימה אוטומטית
✗ימים עד שבועות עם מעבר ידני
אבטחת מידע
✓הצפנה ותקן ISO 27001 מובנים
✗סיכון לאובדן ולחשיפת מידע רגיש
נגישות מרחוק
✓גישה מכל מכשיר ומכל מקום
✗דורש נוכחות פיזית בלשכת HR
אינטגרציה עם HRMS
✓חיבור אוטומטי למערכות ניהול קיימות
✗הזנה ידנית חוזרת עם סיכון לשגיאות
HR Analytics
✓דוחות וניתוח נתונים בזמן אמת
✗אין אפשרות לניתוח נתוני HR ממוחשב
עלות תפעול שוטפת
✓חיסכון משמעותי בהדפסה ואחסון
✗עלויות נייר, הדפסה ואחסון פיזי
לסיכום: למה לעבור לפתרון דיגיטלי לניהול HR היום?
ניהול טפסים בחברה בצורה ידנית הוא בזבוז זמן ומשאבים שכבר אין לו הצדקה. טפסים אוטומטיים לעובדים חוסכים שעות עבודה יקרות, מפחיתים שגיאות אנוש ומשפרים את חוויית העובד – מהיום הראשון בחברה. עם פורטל העובדים הדיגיטלי ומערכת ניהול מסמכים (DMS) מובנית, כל מנהל HR יכול לנהל את כל תהליכי האישור, ההחתמה והארכוב ממקום אחד.
נכון ל-2026, ארגונים שאימצו פתרונות HR דיגיטליים דיווחו על קיצור של עד 65% בזמן הטיפול בטפסים ועל עלייה משמעותית בשביעות רצון העובדים. דיגיטליזציה של תהליכים ארגוניים אינה עוד יתרון תחרותי – היא ציפייה בסיסית של העובדים המודרניים. GoMixApp, עם תקני ISO 27001 ו-9001 ואינטגרציה לכל מערכת ניהול משאבי אנוש (HRMS) קיימת, היא הבחירה הטבעית לחברות שרוצות להתקדם.
עדכון אחרון: ינואר 2026. מוכנים לקחת את מחלקת ה-HR שלכם לעידן הדיגיטלי? צרו קשר עכשיו ונשמח להציג לכם הדגמה חינמית של המערכת.
document.addEventListener('click', function(e) {
var el = e.target.closest('.gmx-lite-yt');
if (!el) return;
var vid = el.getAttribute('data-vid');
if (!vid) return;
var iframe = document.createElement('iframe');
iframe.src = 'https://www.youtube.com/embed/' + vid + '?autoplay=1';
iframe.style.cssText = 'position:absolute;top:0;left:0;width:100%;height:100%;border:0;';
iframe.allow = 'autoplay;encrypted-media';
iframe.allowFullscreen = true;
el.style.position = 'relative';
el.innerHTML = '';
el.appendChild(iframe);
});
(function () {
var c = document.body.className;
c = c.replace(/woocommerce-no-js/, 'woocommerce-js');
document.body.className = c;
})();
var gmxCf7LegacyUxI18n = {"errName":"Please enter a full name","errPhone":"Please enter a valid phone number","errEmail":"Please enter a valid email address","errRequired":"Required field"};
//# sourceURL=gmx-cf7-legacy-ux-js-extra
(function(){
function cleanUrl(url) {
// Strip query params embedded mid-path: /ID?params/file -> /ID/file
return url.replace(/\?[^\/]+\//g, '/');
}
function addWebPFallback(pic) {
if (pic.getAttribute('data-webp-fb')) return;
pic.setAttribute('data-webp-fb', '1');
var img = pic.querySelector('img');
if (!img) return;
img.onerror = function() {
this.onerror = null;
this.src = cleanUrl(this.src).replace('vi_webp','vi').replace('.webp','.jpg');
var sources = this.parentElement.querySelectorAll('source');
for (var i = 0; i < sources.length; i++) {
sources[i].srcset = cleanUrl(sources[i].srcset).replace('vi_webp','vi').replace('.webp','.jpg');
}
};
}
var observer = new MutationObserver(function() {
var pics = document.querySelectorAll('.video-seo-youtube-picture');
for (var i = 0; i < pics.length; i++) addWebPFallback(pics[i]);
});
observer.observe(document.documentElement, { childList: true, subtree: true });
})();
(function(){
var siteKey = "6Ldnu_gsAAAAAGpkh7vCd_h3L9BA193yFU59I4Do";
var action = "submit_lead_form";
var loaderUrl = "https:\/\/www.google.com\/recaptcha\/enterprise.js?render=6Ldnu_gsAAAAAGpkh7vCd_h3L9BA193yFU59I4Do";
// GWP-506 (perf): the reCAPTCHA Enterprise runtime costs ~900ms of main-thread
// work (PSI contactus TBT 660ms, perf 69). It was loaded eagerly on every page
// carrying a CF7 form. It now loads on the FIRST real page interaction
// (scroll/pointer/key/touch) — warming the runtime well before the user can
// reach submit — and never loads on a no-interaction (lab) page view, so the
// perf win holds. The token is still stamped on form focusin and refreshed at
// submit. IMPORTANT: the server gate is fail-CLOSED by default (GWP-412
// require_token) — a missing token at submit is treated as spam — so the
// runtime MUST be warm before submit; that is exactly why the warm trigger is
// first-page-interaction, NOT focusin-only (focusin-only left a race where a
// fast focus→submit could POST before the ~900ms download finished and drop a
// legit lead). The eager <script src> is gone.
var greReady = false, greWaiters = [], greLoadStarted = false;
function pollGre(attempts) {
if (typeof grecaptcha !== 'undefined' && grecaptcha.enterprise) {
greReady = true;
var queued = greWaiters;
greWaiters = [];
queued.forEach(function (fn) { try { fn(); } catch (e) {} });
return;
}
if (attempts > 200) {
// no-silent-failures: enterprise.js never became ready (network-blocked,
// consent/privacy blocker, or a Google outage). Surface it — a missing
// token fails CLOSED server-side (GWP-412) and drops the lead.
if (window.console && console.warn) {
console.warn('[GMX recaptcha] enterprise.js not ready after ~10s; token will be missing (submit fails closed).');
}
return; // give up after ~10s (200 * 50ms)
}
setTimeout(function () { pollGre(attempts + 1); }, 50);
}
function loadGre() {
if (greLoadStarted) return;
greLoadStarted = true;
var s = document.createElement('script');
s.src = loaderUrl;
s.async = true;
document.head.appendChild(s);
pollGre(0); // begin polling only once the runtime is actually loading
}
function whenGreReady(cb) {
if (greReady) return cb();
greWaiters.push(cb);
}
function stampToken(form) {
if (!form.querySelector('.wpcf7-form-control-wrap input[type="submit"], .wpcf7-submit')) return;
loadGre(); // lazy: kick off enterprise.js on demand (idempotent)
whenGreReady(function () {
grecaptcha.enterprise.ready(function () {
grecaptcha.enterprise.execute(siteKey, { action: action }).then(function (token) {
var hidden = form.querySelector('input[name="gmx_recaptcha_token"]');
if (!hidden) {
hidden = document.createElement('input');
hidden.type = 'hidden';
hidden.name = 'gmx_recaptcha_token';
form.appendChild(hidden);
}
hidden.value = token;
}).catch(function () {
// no-silent-failures: token generation failed; the server gate is
// fail-CLOSED (GWP-412), so this submit will be rejected as spam.
if (window.console && console.warn) {
console.warn('[GMX recaptcha] token execute failed; submit will fail closed.');
}
});
});
});
}
document.addEventListener('wpcf7submit', function (e) { stampToken(e.target); });
// Also stamp on first focus into any CF7 form (so token ready before submit).
// `whenGreReady()` queues the stamp until grecaptcha loads, so the once-
// listener stays safe even if grecaptcha isn't ready at focus-in time.
document.querySelectorAll('form.wpcf7-form').forEach(function (form) {
form.addEventListener('focusin', function once() {
form.removeEventListener('focusin', once);
stampToken(form);
});
});
// GWP-506: warm enterprise.js on the FIRST real page interaction so the ~900ms
// runtime is ready before the user reaches submit (closes the focusin-only race
// against the fail-CLOSED server gate, and covers AJAX/popup-injected forms that
// missed the focusin binding above). Never fires on a no-interaction (lab) view,
// so the perf win holds. Idempotent via loadGre()'s greLoadStarted guard.
var warmOpts = { passive: true, capture: true };
var warmEvents = ['pointerdown', 'keydown', 'touchstart', 'scroll'];
function warmGre() {
loadGre();
warmEvents.forEach(function (e) { window.removeEventListener(e, warmGre, warmOpts); });
}
warmEvents.forEach(function (e) { window.addEventListener(e, warmGre, warmOpts); });// GWP-507 (CONFIRMED LIVE: 19 real leads dropped in 8 days): capture-phase
// submit GATE. The warm/focusin logic above only *helps* the token be ready;
// it is NOT a guarantee. The race: a user whose FIRST interaction is clicking
// submit on an autofilled form (no prior scroll/field-touch to warm the
// ~900ms enterprise.js), or who submits before the runtime readies, serializes
// the AJAX POST with an EMPTY gmx_recaptcha_token → the fail-CLOSED server gate
// (GWP-412 require_token) drops the lead as spam. CF7's `wpcf7submit` fires
// AFTER the AJAX POST (too late), and CF7 exposes no documented pre-POST JS
// hook (verified: contactform7.com/dom-events). So the ONLY seam is to
// intercept the native DOM submit/click in CAPTURE phase, HOLD it until
// greReady + token stamped, then re-dispatch. grecaptcha token lifetime is
// 2 minutes, so holding briefly is safe.
//
// TIMEOUT-FALLBACK CHOICE (a): if enterprise.js never readies within the
// ~10s ceiling (network-blocked / consent-blocker / Google outage), we
// RE-ENABLE the button and let the submit proceed WITHOUT a token rather than
// hard-blocking the user. It will fail-CLOSED server-side (GWP-412), but the
// console.warn fires loudly (no-silent-failures) — we never trap a real user
// behind a spinner they can't escape.
var GATE_TIMEOUT_MS = 10000; // matches pollGre ceiling (200 * 50ms).
function gmxFormHasToken(form) {
var hidden = form.querySelector('input[name="gmx_recaptcha_token"]');
return !!(hidden && hidden.value);
}
function gmxSetVerifying(form, on) {
var btn = form.querySelector('.wpcf7-submit, input[type="submit"], button[type="submit"]');
if (!btn) return;
if (on) {
btn.disabled = true;
btn.setAttribute('data-gmx-verifying', '1');
} else {
btn.disabled = false;
btn.removeAttribute('data-gmx-verifying');
}
}
function gmxReleaseSubmit(form) {
// Mark released so the re-dispatched submit passes straight through the
// capture gate (no re-gate loop), re-enable UX, then re-trigger.
form.__gmxGateReleased = true;
gmxSetVerifying(form, false);
if (typeof form.requestSubmit === 'function') {
form.requestSubmit();
} else {
form.dispatchEvent(new Event('submit', { bubbles: true, cancelable: true }));
}
// GWP-507 finding-1 (BLOCKER fix): reset the release flag on the NEXT tick
// so any FUTURE user submit (user edits a field + resubmits) is re-gated and
// stamps a FRESH token. reCAPTCHA tokens are single-use with a ~2-min
// lifetime — without this reset, __gmxGateReleased stayed true forever after
// the first release, letting a second submit bypass the gate and POST a
// stale/used token. The setTimeout(0) lets the synchronous re-dispatch above
// complete (which short-circuits on the still-true flag) before we re-arm.
setTimeout(function () { form.__gmxGateReleased = false; }, 0);
}
function gmxSubmitGate(e) {
var form = e.currentTarget;
if (form.tagName !== 'FORM') { form = form.form || form.closest('form.wpcf7-form'); }
if (!form) return;
// Idempotent: a programmatic re-submit we already released proceeds. This is
// the ONLY pass-through — it lets the freshly-stamped re-dispatch reach CF7.
// (The flag is reset on the next tick in gmxReleaseSubmit, so the NEXT user
// submit is re-gated.)
if (form.__gmxGateReleased) return;
// GWP-507 finding-2 (stale/used token fix): every USER submit HOLDS + stamps
// a FRESH token — we do NOT early-return on an already-present token. A token
// already sitting in the hidden input may be stale or already used (single-
// use, ~2-min lifetime); proceeding on it would POST a dead token. enterprise.js
// is warm by submit time, so grecaptcha.enterprise.execute() resolves in
// ~100-300ms — the per-submit hold is brief. stampToken() OVERWRITES the
// hidden input value (hidden.value = token), so no stale token lingers.
// HOLD: block CF7's submit handler before the AJAX POST.
e.preventDefault();
e.stopImmediatePropagation();
if (form.__gmxGateWaiting) return; // a click + submit may both fire; hold once.
form.__gmxGateWaiting = true;
loadGre(); // kick the warm if not started.
gmxSetVerifying(form, true);
var released = false;
function release(missing) {
if (released) return;
released = true;
form.__gmxGateWaiting = false;
if (missing && window.console && console.warn) {
console.warn('[GMX recaptcha] submit gate timed out (~10s); releasing without token (submit fails closed).');
}
gmxReleaseSubmit(form);
}
var timer = setTimeout(function () { release(true); }, GATE_TIMEOUT_MS);
whenGreReady(function () {
stampToken(form);
// stampToken resolves the token asynchronously (enterprise.execute
// promise); poll briefly for the stamp, then release. Bounded by the
// same overall timer above.
(function awaitStamp(n) {
if (released) return;
if (gmxFormHasToken(form)) { clearTimeout(timer); release(false); return; }
if (n > 200) { clearTimeout(timer); release(true); return; } // ~10s (200*50ms)
setTimeout(function () { awaitStamp(n + 1); }, 50);
})(0);
});
}
// GWP-507 finding-4 (CF7 phase): WHY capture phase works. Our gate listener is
// registered in CAPTURE phase (3rd arg `true`), so it runs BEFORE CF7's own
// bubble-phase 'submit' handler on the same form. When we call
// e.stopImmediatePropagation() in the capture listener, the DOM spec stops ALL
// further listeners for that event on the target — including the later
// bubble-phase CF7 handler — so CF7's AJAX POST never fires until we re-dispatch
// with a fresh token. This capture-phase interception is the only documented
// pre-POST seam: CF7 exposes no pre-POST JS hook (wpcf7submit fires AFTER the
// AJAX POST). See contactform7.com/dom-events.
document.querySelectorAll('form.wpcf7-form').forEach(function (form) {
form.addEventListener('submit', gmxSubmitGate, true);
var btn = form.querySelector('.wpcf7-submit, input[type="submit"], button[type="submit"]');
if (btn) { btn.addEventListener('click', gmxSubmitGate, true); }
});
})();
(function(){
var loaded = false;
function loadUserWay() {
if (loaded) return;
loaded = true;
var el = document.createElement('script');
el.setAttribute('data-account', "UX40fo0Ctw");
el.setAttribute('data-language', "he");
el.setAttribute('src', 'https://cdn.userway.org/widget.js');
document.body.appendChild(el);
events.forEach(function(e){ window.removeEventListener(e, loadUserWay, {passive: true}); });
}
var events = ['scroll', 'mousemove', 'touchstart', 'click', 'keydown'];
events.forEach(function(e){ window.addEventListener(e, loadUserWay, {passive: true}); });
})();
