Requisitos do servidor

A aplicação web é baseada no Fat-Free Framework, portanto compartilham os mesmos requisitos de servidor (consulte os requisitos de sistema do Fat-Free Framework).

• PHP 8.2 ou superior.
• Extensões PHP CURL e JSON habilitadas.
• libsodium habilitada (incluída no PHP 7.2 e posteriores, incluindo todas as versões PHP 8.x) para a assinatura de respostas Ed25519 de 2026.

• Apache: mod_rewrite e mod_headers devem estar habilitados. Arquivos .htaccess dedicados estão incluídos.
• Windows Server: utilize o arquivo web.config incluído em vez disso; você pode excluir os arquivos .htaccess.
• NGINX: os arquivos .htaccess / web.config incluídos não são lidos pelo NGINX, portanto você mesmo deve adicionar regras equivalentes ao seu bloco de servidor (veja o exemplo abaixo).

O NGINX ignora .htaccess. Adicione o seguinte ao bloco server cujo root aponta para a pasta xlspadlock-onlineact. O primeiro location encaminha as requisições pelo front controller; os demais garantem que a pasta privada inc/ e qualquer arquivo .ini (que guardam seus segredos) nunca possam ser servidos como arquivos estáticos:

# Route everything through the Fat-Free front controller
location / {
    try_files $uri $uri/ /index.php?$query_string;
}

# Block direct access to the private folder and to any .ini file
# (inc/config.ini contains your master key and signing key)
location ^~ /inc/ { deny all; return 404; }
location ~* \.ini$ { deny all; return 404; }
location ~ /\.   { deny all; return 404; }   # dot-files such as .htaccess

# Standard PHP-FPM handler (adjust the socket/port to your setup)
location ~ \.php$ {
    include fastcgi_params;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    fastcgi_pass unix:/run/php/php-fpm.sock;
}

Após a implantação, abra https://your-server/inc/config.ini em um navegador: deve retornar 403 ou 404, nunca o conteúdo do arquivo. Faça o mesmo no Apache/IIS para confirmar que as regras incluídas estão ativas.