Requisiti del server

L’applicazione web è basata sul Fat-Free Framework, quindi condividono gli stessi requisiti del server (vedere i requisiti di sistema del Fat-Free Framework).

• PHP 8.2 o superiore.
• Estensioni PHP CURL e JSON abilitate.
• libsodium abilitato (incluso in PHP 7.2 e versioni successive, comprese tutte le versioni PHP 8.x) per la firma delle risposte Ed25519 del 2026.

• Apache: mod_rewrite e mod_headers devono essere abilitati. Sono inclusi file .htaccess dedicati.
• Windows Server: utilizzare invece il file web.config incluso; è possibile eliminare i file .htaccess.
• NGINX: i file .htaccess / web.config inclusi non vengono letti da NGINX, quindi occorre aggiungere autonomamente le regole equivalenti al proprio blocco server (vedere l’esempio seguente).

NGINX ignora .htaccess. Aggiungere quanto segue al blocco server il cui root punta alla cartella xlspadlock-onlineact. Il primo location instrada le richieste attraverso il front controller; gli altri garantiscono che la cartella privata inc/ e qualsiasi file .ini (che contengono i propri segreti) non possano mai essere serviti come file statici:

# Route everything through the Fat-Free front controller
location / {
    try_files $uri $uri/ /index.php?$query_string;
}

# Block direct access to the private folder and to any .ini file
# (inc/config.ini contains your master key and signing key)
location ^~ /inc/ { deny all; return 404; }
location ~* \.ini$ { deny all; return 404; }
location ~ /\.   { deny all; return 404; }   # dot-files such as .htaccess

# Standard PHP-FPM handler (adjust the socket/port to your setup)
location ~ \.php$ {
    include fastcgi_params;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    fastcgi_pass unix:/run/php/php-fpm.sock;
}

Dopo il deployment, aprire https://your-server/inc/config.ini in un browser: deve restituire 403 o 404, mai il contenuto del file. Fare lo stesso su Apache/IIS per confermare che le regole fornite siano attive.