Releaser & uppdateringar
En översikt av förändringar i Radix. För fullständig historik och taggar/versioner, se GitHub‑releaser.
v1.4.6 Åtgärdat mobilproblem
App Senaste
Åtgärdat mobilproblem där sidan kunde hoppa/blinka vid klick på pagination.
Förbättrat horisontell scrollhantering och touch-beteende i paginationen.
Förbättrat horisontell scrollhantering och touch-beteende i paginationen.
v1.4.5 Cross-Origin-Resource-Policy-stöd i Radix App
App
Denna release uppdaterar Radix App med standardkonfiguration för den nya säkerhetsheadern
Cross-Origin-Resource-Policy som stöds av Radix Frameworks SecurityHeaders middleware.
Syftet är att ge nya Radix-projekt en säkrare grundkonfiguration direkt från start och göra
det enklare att kontrollera hur resurser från applikationen får användas av andra origins.
Ny miljövariabel
Radix App innehåller nu följande rekommenderade standard i .env.example:
SECURITY_CORP=same-origin
Tillåtna värden är:
same-origin
same-site
cross-origin
off
Rekommenderad standard för vanliga installationer är:
SECURITY_CORP=same-origin
Det passar när webb, API och statiska resurser ligger på samma origin, exempelvis:
https://example.com
https://example.com/api/v1/...
https://example.com/assets/...
Konfiguration
Radix App läser nu in SECURITY_CORP via appens säkerhetskonfiguration och skickar värdet
vidare till frameworkets SecurityHeaders middleware.
Om variabeln lämnas tom eller sätts till off sätts ingen Cross-Origin-Resource-Policy-header
av frameworkets middleware.
Apache och statiska filer
För Apache-installationer har public/.htaccess uppdaterats så att statiska resurser kan få
motsvarande header även när de serveras direkt av webbservern.
Det innebär att resurser som JavaScript, CSS, bilder, fonter och manifest kan omfattas av
samma skydd även utan att requesten passerar PHP-applikationen.
Standardvärdet i appens Apache-konfiguration är:
Cross-Origin-Resource-Policy: same-origin
Tester
Testerna för SecurityHeaders middleware har uppdaterats för att stödja den nya
SECURITY_CORP-konfigurationen.
Testsviten verifierar nu både att Cross-Origin-Resource-Policy-headern sätts när
SECURITY_CORP är konfigurerad och att headern inte sätts när värdet saknas eller inte är aktiverat.
Det säkerställer att den nya funktionen fungerar utan att bryta befintligt beteende för CSP,
HSTS och övriga säkerhetsheaders.
När ska andra värden användas?
Använd same-site om applikationen är uppdelad över flera subdomäner inom samma site,
till exempel:
https://app.example.com
https://api.example.com
https://static.example.com
Använd cross-origin endast om resurser från applikationen behöver kunna användas av
externa domäner.
Använd off om headern inte ska sättas av Radix Frameworks SecurityHeaders middleware.
Bakåtkompatibilitet
Ändringen är bakåtkompatibel för befintliga applikationer.
Projekt som redan har en egen .env påverkas inte automatiskt förrän SECURITY_CORP läggs
till eller konfigureras. Nya projekt som skapas från denna starter får däremot en
rekommenderad säker standard direkt via .env.example.
Rekommendation
För de flesta Radix App-installationer rekommenderas:
SECURITY_CORP=same-origin
Om applikationen använder CDN, externa bilddomäner, inbäddade resurser eller flera
subdomäner bör värdet ses över utifrån den faktiska deploymentsituationen.
Cross-Origin-Resource-Policy som stöds av Radix Frameworks SecurityHeaders middleware.
Syftet är att ge nya Radix-projekt en säkrare grundkonfiguration direkt från start och göra
det enklare att kontrollera hur resurser från applikationen får användas av andra origins.
Ny miljövariabel
Radix App innehåller nu följande rekommenderade standard i .env.example:
SECURITY_CORP=same-origin
Tillåtna värden är:
same-origin
same-site
cross-origin
off
Rekommenderad standard för vanliga installationer är:
SECURITY_CORP=same-origin
Det passar när webb, API och statiska resurser ligger på samma origin, exempelvis:
https://example.com
https://example.com/api/v1/...
https://example.com/assets/...
Konfiguration
Radix App läser nu in SECURITY_CORP via appens säkerhetskonfiguration och skickar värdet
vidare till frameworkets SecurityHeaders middleware.
Om variabeln lämnas tom eller sätts till off sätts ingen Cross-Origin-Resource-Policy-header
av frameworkets middleware.
Apache och statiska filer
För Apache-installationer har public/.htaccess uppdaterats så att statiska resurser kan få
motsvarande header även när de serveras direkt av webbservern.
Det innebär att resurser som JavaScript, CSS, bilder, fonter och manifest kan omfattas av
samma skydd även utan att requesten passerar PHP-applikationen.
Standardvärdet i appens Apache-konfiguration är:
Cross-Origin-Resource-Policy: same-origin
Tester
Testerna för SecurityHeaders middleware har uppdaterats för att stödja den nya
SECURITY_CORP-konfigurationen.
Testsviten verifierar nu både att Cross-Origin-Resource-Policy-headern sätts när
SECURITY_CORP är konfigurerad och att headern inte sätts när värdet saknas eller inte är aktiverat.
Det säkerställer att den nya funktionen fungerar utan att bryta befintligt beteende för CSP,
HSTS och övriga säkerhetsheaders.
När ska andra värden användas?
Använd same-site om applikationen är uppdelad över flera subdomäner inom samma site,
till exempel:
https://app.example.com
https://api.example.com
https://static.example.com
Använd cross-origin endast om resurser från applikationen behöver kunna användas av
externa domäner.
Använd off om headern inte ska sättas av Radix Frameworks SecurityHeaders middleware.
Bakåtkompatibilitet
Ändringen är bakåtkompatibel för befintliga applikationer.
Projekt som redan har en egen .env påverkas inte automatiskt förrän SECURITY_CORP läggs
till eller konfigureras. Nya projekt som skapas från denna starter får däremot en
rekommenderad säker standard direkt via .env.example.
Rekommendation
För de flesta Radix App-installationer rekommenderas:
SECURITY_CORP=same-origin
Om applikationen använder CDN, externa bilddomäner, inbäddade resurser eller flera
subdomäner bör värdet ses över utifrån den faktiska deploymentsituationen.
v1.4.4 Frontend uppdatering
App
Updatering av js tooltip för att fungera inuti tables.
Uppdatering av devDependencies i package.json.
Uppdatering av devDependencies i package.json.
v1.4.3 Liten csp fix för e-postblockering.
App
Tagit bort style och script i ta bort e-postblockering för csp.
v1.4.2 CSP, canonical URL och neutral pagination
App
Den här uppdateringen förbereder Radix App för striktare CSP, bättre canonical URL-hantering och den nya framework-neutrala
pagination-renderingen i radix-framework.
Canonical URL via middleware
Radix App använder nu frameworkets CanonicalUrl-middleware:
'canonical.url' => \Radix\Middleware\Middlewares\CanonicalUrl::class
Middlewaret aktiveras på webbroutes och använder APP_URL som canonical källa.
Exempel:
APP_URL=https://example.com
Om en request kommer in på fel host eller scheme kan middlewaret redirecta till den URL som motsvarar APP_URL.
Canonical middleware är aktiverad för webbroutes, men inte för API-routes. Det gör att API-anrop undviker onödiga redirects,
vilket är bättre om API:et senare används av externa klienter.
Striktare CSP
CSP-konfigurationen för webben är nu striktare och tillåter inte längre inline CSS:
style-src 'self'
Det innebär att inline-style som exempelvis style="display:none" och style="line-height:1" har tagits bort eller ersatts med
CSS-klasser.
Scripts använder fortsatt nonce via csp_nonce().
Pagination-styling flyttad till Radix App
radix-framework renderar nu pagination med framework-neutrala Radix-klasser i stället för Tailwind utility-klasser och inline-style.
Radix App innehåller styling för dessa klasser.
Klasser som används:
radix-pagination
radix-pagination--mobile
radix-pagination--desktop
radix-pagination__inner
radix-pagination__link
radix-pagination__link--active
radix-pagination__link--disabled
radix-pagination__link--first
radix-pagination__link--previous
radix-pagination__link--next
radix-pagination__link--last
radix-pagination__ellipsis
Det gör att radix-framework inte längre behöver anta Tailwind, medan Radix App fortfarande får färdig styling.
Både server-renderad pagination och JavaScript-renderad pagination har uppdaterats för att använda samma
Radix pagination-klasser.
Honeypot och CSP
Honeypot-fält använder nu CSS-klass i stället för inline-style.
Exempel:
class="radix-honeypot"
Radix App döljer fältet via CSS, vilket gör honeypot-helpern kompatibel med strikt CSP.
.htaccess och webroot
Root-.htaccess finns kvar som fallback för enklare webbhotell där document root inte kan sättas till public/.
Rekommenderad setup är fortfarande att peka serverns document root direkt till public/.
Men om det inte går skickar root-.htaccess requests vidare internt till public/.
Uppdaterad ansvarsfördelning
Den här releasen tydliggör uppdelningen mellan framework och app:
radix-framework
CanonicalUrl middleware
pagination-logik
neutral pagination-markup
CSP-vänliga helpers
radix-app
aktiverar middleware
sätter APP_URL
stylar pagination med Tailwind/CSS
innehåller .htaccess-fallback
tillhandahåller appens frontendstruktur
Att tänka på vid uppgradering
Om du har egna vyer eller egen CSS som förlitar sig på gamla pagination-klasser som pager-base, pager-active, pager-disabled
eller Tailwind-klasser direkt från frameworkets HTML-output behöver du uppdatera stylingen till de nya radix-pagination*-klasserna.
Efter uppdatering, kör:
composer update
npm install
npm run build
Om autoloadade helpers har ändrats kan även detta vara bra:
composer dump-autoload
pagination-renderingen i radix-framework.
Canonical URL via middleware
Radix App använder nu frameworkets CanonicalUrl-middleware:
'canonical.url' => \Radix\Middleware\Middlewares\CanonicalUrl::class
Middlewaret aktiveras på webbroutes och använder APP_URL som canonical källa.
Exempel:
APP_URL=https://example.com
Om en request kommer in på fel host eller scheme kan middlewaret redirecta till den URL som motsvarar APP_URL.
Canonical middleware är aktiverad för webbroutes, men inte för API-routes. Det gör att API-anrop undviker onödiga redirects,
vilket är bättre om API:et senare används av externa klienter.
Striktare CSP
CSP-konfigurationen för webben är nu striktare och tillåter inte längre inline CSS:
style-src 'self'
Det innebär att inline-style som exempelvis style="display:none" och style="line-height:1" har tagits bort eller ersatts med
CSS-klasser.
Scripts använder fortsatt nonce via csp_nonce().
Pagination-styling flyttad till Radix App
radix-framework renderar nu pagination med framework-neutrala Radix-klasser i stället för Tailwind utility-klasser och inline-style.
Radix App innehåller styling för dessa klasser.
Klasser som används:
radix-pagination
radix-pagination--mobile
radix-pagination--desktop
radix-pagination__inner
radix-pagination__link
radix-pagination__link--active
radix-pagination__link--disabled
radix-pagination__link--first
radix-pagination__link--previous
radix-pagination__link--next
radix-pagination__link--last
radix-pagination__ellipsis
Det gör att radix-framework inte längre behöver anta Tailwind, medan Radix App fortfarande får färdig styling.
Både server-renderad pagination och JavaScript-renderad pagination har uppdaterats för att använda samma
Radix pagination-klasser.
Honeypot och CSP
Honeypot-fält använder nu CSS-klass i stället för inline-style.
Exempel:
class="radix-honeypot"
Radix App döljer fältet via CSS, vilket gör honeypot-helpern kompatibel med strikt CSP.
.htaccess och webroot
Root-.htaccess finns kvar som fallback för enklare webbhotell där document root inte kan sättas till public/.
Rekommenderad setup är fortfarande att peka serverns document root direkt till public/.
Men om det inte går skickar root-.htaccess requests vidare internt till public/.
Uppdaterad ansvarsfördelning
Den här releasen tydliggör uppdelningen mellan framework och app:
radix-framework
CanonicalUrl middleware
pagination-logik
neutral pagination-markup
CSP-vänliga helpers
radix-app
aktiverar middleware
sätter APP_URL
stylar pagination med Tailwind/CSS
innehåller .htaccess-fallback
tillhandahåller appens frontendstruktur
Att tänka på vid uppgradering
Om du har egna vyer eller egen CSS som förlitar sig på gamla pagination-klasser som pager-base, pager-active, pager-disabled
eller Tailwind-klasser direkt från frameworkets HTML-output behöver du uppdatera stylingen till de nya radix-pagination*-klasserna.
Efter uppdatering, kör:
composer update
npm install
npm run build
Om autoloadade helpers har ändrats kan även detta vara bra:
composer dump-autoload
v1.4.1 Förbättrad struktur för assets och uploads
App
Den här releasen uppdaterar Radix App med en tydligare och säkrare standardstruktur för
publika frontend-assets och användaruppladdningar.
Nytt och förbättrat
Appens egna frontend-assets ligger nu samlat under:
public/assets
CSS och JavaScript byggs nu till:
public/assets/css/app.css
public/assets/js/app.js
Favicons ligger nu under:
public/assets/favicons
Statisk app-grafik, till exempel default-avatar, ligger nu under:
public/assets/images/graphics
Användaruppladdningar ligger nu separat under:
public/uploads
Uppladdade avatarer sparas som standard under:
public/uploads/users/{id}/avatar.jpg
Default-avatar använder nu:
/assets/images/graphics/avatar.png
versioned_file() används nu konsekvent med nya asset-paths:
versioned_file('/assets/css/app.css')
versioned_file('/assets/js/app.js')
versioned_file('/assets/images/graphics/avatar.png')
publika frontend-assets och användaruppladdningar.
Nytt och förbättrat
Appens egna frontend-assets ligger nu samlat under:
public/assets
CSS och JavaScript byggs nu till:
public/assets/css/app.css
public/assets/js/app.js
Favicons ligger nu under:
public/assets/favicons
Statisk app-grafik, till exempel default-avatar, ligger nu under:
public/assets/images/graphics
Användaruppladdningar ligger nu separat under:
public/uploads
Uppladdade avatarer sparas som standard under:
public/uploads/users/{id}/avatar.jpg
Default-avatar använder nu:
/assets/images/graphics/avatar.png
versioned_file() används nu konsekvent med nya asset-paths:
versioned_file('/assets/css/app.css')
versioned_file('/assets/js/app.js')
versioned_file('/assets/images/graphics/avatar.png')
v1.4.0 Uppdatering till Radix Framework v1.2.2
App
Radix App är uppdaterad till radix-framework v1.2.2.
Den här releasen uppdaterar .env.example och Infection schedule med SESSION_COOKIE_NAME, så appen matchar den nya sessionscookie-valideringen i frameworket.
För production rekommenderas ett app-specifikt __Host--prefixat cookie-namn, t.ex:
dotenv SESSION_COOKIE_NAME=__Host-din_app_session SESSION_COOKIE_SECURE=true
Den här releasen uppdaterar .env.example och Infection schedule med SESSION_COOKIE_NAME, så appen matchar den nya sessionscookie-valideringen i frameworket.
För production rekommenderas ett app-specifikt __Host--prefixat cookie-namn, t.ex:
dotenv SESSION_COOKIE_NAME=__Host-din_app_session SESSION_COOKIE_SECURE=true
v1.3.9 Fix Åtgärdade PHPStan-varning
App
Åtgärdade PHPStan-varning i kontaktformulärets kontroll av blockerade e-postadresser.
Tog bort redundant is_callable()-kontroll efter class_exists().
Kontaktformuläret fortsätter stödja valfri blocked-email scaffold utan att ge fel i statisk analys.
Tog bort redundant is_callable()-kontroll efter class_exists().
Kontaktformuläret fortsätter stödja valfri blocked-email scaffold utan att ge fel i statisk analys.
v1.3.8 Förbättrat CSRF-skyddet för sökfunktioner
App
JavaScript-baserade sökningar som använder POST skickar nu CSRF-token till backend,
och sök-API:erna valideras via CSRF-middleware. Vanliga GET-baserade sökformulär
fortsätter fungera som tidigare utan CSRF-token i URL:en.
Detta stärker skyddet för session-baserade API-anrop utan att påverka normal sökning, filtrering eller paginering.
och sök-API:erna valideras via CSRF-middleware. Vanliga GET-baserade sökformulär
fortsätter fungera som tidigare utan CSRF-token i URL:en.
Detta stärker skyddet för session-baserade API-anrop utan att påverka normal sökning, filtrering eller paginering.
v1.3.7 E-postblockering för kontaktformulär
App
Vi har lagt till stöd för att manuellt blockera e-postadresser från att skicka meddelanden via kontaktformuläret.
Moderatorer och administratörer kan nu hantera en blocklista i administrationsgränssnittet. Om ett meddelande skickas från en blockerad e-postadress stoppas utskicket, samtidigt som avsändaren får samma neutrala bekräftelse som vanligt.
Innehåller
Ny blocklista för e-postadresser
Adminvy för att lista, söka och ta bort blockerade adresser
Formulär för att lägga till ny blockerad e-postadress med valfri anledning
Koppling till användaren som skapade blockeringen
Sökstöd i administrationsvyn
Bekräftelsemodal vid borttagning
Kontaktformuläret kontrollerar blocklistan innan mail skickas
Funktionen är scaffold-anpassad och fungerar även om adminmodulen inte är installerad
Syfte
Detta ger ett extra skyddslager mot spam utöver befintligt honeypot-skydd. Funktionen är särskilt användbar när en spamadress har lyckats ta sig igenom formulärskyddet och behöver stoppas manuellt framöver.
Moderatorer och administratörer kan nu hantera en blocklista i administrationsgränssnittet. Om ett meddelande skickas från en blockerad e-postadress stoppas utskicket, samtidigt som avsändaren får samma neutrala bekräftelse som vanligt.
Innehåller
Ny blocklista för e-postadresser
Adminvy för att lista, söka och ta bort blockerade adresser
Formulär för att lägga till ny blockerad e-postadress med valfri anledning
Koppling till användaren som skapade blockeringen
Sökstöd i administrationsvyn
Bekräftelsemodal vid borttagning
Kontaktformuläret kontrollerar blocklistan innan mail skickas
Funktionen är scaffold-anpassad och fungerar även om adminmodulen inte är installerad
Syfte
Detta ger ett extra skyddslager mot spam utöver befintligt honeypot-skydd. Funktionen är särskilt användbar när en spamadress har lyckats ta sig igenom formulärskyddet och behöver stoppas manuellt framöver.
Saknar du en detalj här? Se GitHub‑releaser för komplett historik.