reload fixes (#457)

* security fixes and theme preview

* securit fix replace

* Update CHANGELOG.md

* 5.3.3

* namespace guide entfernt

* fixed reload

* Bump version to 5.3.4 and fix various issues

Updated version to 5.3.4 and fixed multiple issues including JSON parsing errors, framework template loading, and security vulnerabilities.

* 5.3.6

* alle laden inline via session erlauben

* Fix iOS Safari touch events (thx @alexwenz) and update changelog

* Address review comments: add missing translations and secure host usage

Author: skerbis

CHANGELOG.md

@@ -1,5 +1,14 @@
 # REDAXO consent_manager - Changelog
 
+## Version 5.4.0 - 11.02.2026
+
+- **Feature:** Inline-Consent kann nun optional auf "Session-Scope" beschränkt werden. Zustimmungen gelten dann nur, solange der Browser-Tab offen ist (via `sessionStorage`). Konfigurierbar unter Einstellungen.
+- **Fix:** Reload-Loop behoben: Das Öffnen der Details aus einem Inline-Element führte unter Umständen zu einem sofortigen Neuladen der Seite.
+- **Fix:** iOS Safari Touch-Event Handling verbessert: Button musste unter Umständen doppelt getippt werden; nun reagiert er sofort (Danke @alexwenz).
+- **System:** Build-Skript aktualisiert für bessere Minifizierung.
+
+
+
 ## Version 5.3.4 - 29.01.2026
 
 - **Fix:** JSON Parsing Fehler im Frontend behoben (`double-escaping` von HTML-Attributen entfernt), was zu Fehlern beim Laden der Cookie-Gruppen führte (`safeJSONParse failed`).

assets/consent_inline.js

@@ -47,12 +47,12 @@ if (typeof window.consentManagerInline !== 'undefined') {
                 });
             });
 
-            // Cookie-Änderungen überwachen
-            var lastCookieValue = self.getCookie('consentmanager');
+            // Cookie/Storage-Änderungen überwachen
+            var lastStorageValue = self.getStorageValue();
             setInterval(function() {
-                var currentCookieValue = self.getCookie('consentmanager');
-                if (currentCookieValue !== lastCookieValue) {
-                    lastCookieValue = currentCookieValue;
+                var currentStorageValue = self.getStorageValue();
+                if (currentStorageValue !== lastStorageValue) {
+                    lastStorageValue = currentStorageValue;
                     self.updateAllPlaceholders();
                 }
             }, 1000);
@@ -83,8 +83,8 @@ if (typeof window.consentManagerInline !== 'undefined') {
                 });
             }
 
-            // Event-Handler für Buttons mit spezifischer Priorität
-            document.addEventListener('click', function(e) {
+            // Helper function for button click handling (unified for click and touchstart)
+            var handleButtonClick = function(e) {
                 // Eindeutig nur "Einmal laden" Button - Lädt NUR diesen einen Container
                 if (e.target.matches('.consent-inline-once') && !e.target.matches('.consent-inline-allow-all')) {
                     e.preventDefault();
@@ -115,7 +115,18 @@ if (typeof window.consentManagerInline !== 'undefined') {
                     self.showDetails(serviceKey);
                     return;
                 }
-            });
+            };
+
+            // Event-Handler für Buttons mit spezifischer Priorität
+            document.addEventListener('click', handleButtonClick);
+            
+            // iOS Safari Fix: touchend statt touchstart verwenden
+            // touchend verhindert Hover-State und triggert sofort
+            document.addEventListener('touchend', function(e) {
+                if (e.target.matches('.consent-inline-once, .consent-inline-allow-all, .consent-inline-details')) {
+                    handleButtonClick(e);
+                }
+            }, { passive: false });
 
             // Fallback: Regelmäßige Prüfung
             setInterval(function() { 
@@ -382,7 +393,7 @@ if (typeof window.consentManagerInline !== 'undefined') {
             } catch (e) {
                 // ignore and fallback to default
             }
-            var cookieValue = this.getCookie('consentmanager');
+            var cookieValue = this.getStorageValue();
 
         if (!cookieValue) {
             return {
@@ -508,6 +519,13 @@ if (typeof window.consentManagerInline !== 'undefined') {
         },
 
         setCookieData: function(data) {
+            if (this.isSessionScope()) {
+                try {
+                    sessionStorage.setItem('consentmanager', JSON.stringify(data));
+                } catch(e) { /* ignore */ }
+                return;
+            }
+
             // Vor dem Setzen: alte / invalide Cookies entfernen
             var shouldClear = false;
             try {
@@ -544,6 +562,26 @@ if (typeof window.consentManagerInline !== 'undefined') {
                              '; path=/; SameSite=Lax';
         },
 
+        isSessionScope: function() {
+            try {
+                return (typeof window.consentManagerInlineOptions !== 'undefined' && 
+                        window.consentManagerInlineOptions.sessionScope === true);
+            } catch(e) {
+                return false;
+            }
+        },
+
+        getStorageValue: function() {
+            if (this.isSessionScope()) {
+                try {
+                    return sessionStorage.getItem('consentmanager');
+                } catch(e) {
+                    return null;
+                }
+            }
+            return this.getCookie('consentmanager');
+        },
+        
         getCookie: function(name) {
             var value = '; ' + document.cookie;
             var parts = value.split('; ' + name + '=');

assets/consent_manager_frontend.js

@@ -291,7 +291,8 @@ function safeJSONParse(input, fallback) {
                     if (actions.indexOf('reload') !== -1) {
                         // Warte auf Box-Close und reload dann
                         var checkClose = setInterval(function() {
-                            if (!document.querySelector('.consent_manager-box')) {
+                            var box = document.getElementById('consent_manager-background');
+                            if (!box || box.classList.contains('consent_manager-hidden')) {
                                 clearInterval(checkClose);
                                 location.reload();
                             }

assets/consent_manager_frontend.min.js

@@ -225,6 +225,17 @@ if (class_exists(InlineConsent::class)) {
 
 ---
 
+## 🔧 Backend-Konfiguration: Globale Einstellungen
+
+### Session-Scope (Nur für die Sitzung merken)
+
+Unter **Consent Manager → Einstellungen** kann die Option **"Inline-Consent: Zustimmung nur für Session merken"** aktiviert werden.
+
+- **Deaktiviert (Standard):** Zustimmungen für Inline-Elemente (z.B. "Einmal laden" oder "Alle zulassen") werden als persistentes Cookie gespeichert (Standard 1 Jahr).
+- **Aktiviert:** Zustimmungen werden im `sessionStorage` des Browsers gespeichert. Sobald der Tab oder Browser geschlossen wird, verfällt die Zustimmung automatisch.
+
+Diese Einstellung ist besonders datenschutzfreundlich, da Besucher bei jedem neuen Besuch erneut explizit zustimmen müssen.
+
 ## 🔧 Backend-Konfiguration: Platzhalter pro Service
 
 Im Backend unter **Consent Manager → Cookies** können für jeden Service individuelle Platzhalter-Einstellungen vorgenommen werden:

inline.md

@@ -308,6 +308,10 @@ consent_manager_import_standard_update_success = Standard Setup Update erfolgrei
 consent_manager_import_standard_update_error = Standard Setup Update fehlgeschlagen: {0}
 
 # Inline Consent Einstellungen
+consent_manager_config_inline_consent_session_scope = Inline-Consent für Session merken
+consent_manager_config_inline_consent_session_scope_enable = Ja, Auswahl für die Session speichern
+consent_manager_config_inline_consent_session_scope_desc = Wenn aktiviert, wird die Auswahl "Einmal laden" und "Alle erlauben" (im Inline-Kontext) für die Dauer der Browsersitzung gespeichert (sessionStorage). Standardmäßig gilt "Einmal laden" nur bis zum Neuladen der Seite und "Alle erlauben" speichert dauerhaft im Cookie. Mit dieser Option verhält sich "Alle erlauben" wie eine Session-Freigabe.
+
 consent_manager_config_inline_only_mode = Nur Inline-Consent verwenden
 consent_manager_config_inline_only_mode_desc = Das globale Consent-Popup wird standardmäßig nicht angezeigt. Consent wird nur bei Bedarf über doConsent() abgefragt.
 

lang/de_de.lang

@@ -416,6 +416,11 @@ consent_manager_import_standard_update_error = Standard setup update failed: {0}
 consent_manager_quickstart_status_final = Completion
 
 # Inline Consent Settings
+# Inline Consent Settings
+consent_manager_config_inline_consent_session_scope = Remember inline consent for session
+consent_manager_config_inline_consent_session_scope_enable = Yes, save selection for the session
+consent_manager_config_inline_consent_session_scope_desc = If enabled, the selection "Load once" and "Allow all" (in inline context) is stored for the duration of the browser session (sessionStorage). By default, "Load once" applies only until the page is reloaded and "Allow all" saves permanently in the cookie. With this option, "Allow all" behaves like a session approval.
+
 consent_manager_config_inline_only_mode = Use inline consent only
 consent_manager_config_inline_only_mode_desc = The global consent popup is not displayed by default. Consent is only requested when needed via doConsent().
 

lang/en_gb.lang

@@ -396,6 +396,11 @@ consent_manager_import_standard_update_error = Standard setup-uppdatering missly
 consent_manager_quickstart_status_final = Slutförande
 
 # Inline Consent-inställningar
+# Inline Consent Settings
+consent_manager_config_inline_consent_session_scope = Kom ihåg inline-samtycke för sessionen
+consent_manager_config_inline_consent_session_scope_enable = Ja, spara valet för sessionen
+consent_manager_config_inline_consent_session_scope_desc = Om aktiverat sparas valet "Ladda en gång" och "Tillåt alla" (i inline-sammanhang) under webbläsarsessionens varaktighet (sessionStorage). Som standard gäller "Ladda en gång" endast tills sidan laddas om och "Tillåt alla" sparas permanent i cookien. Med detta alternativ beter sig "Tillåt alla" som ett sessionsgodkännande.
+
 consent_manager_config_inline_only_mode = Använd endast inline-consent
 consent_manager_config_inline_only_mode_desc = Den globala consent-popupen visas inte som standard. Samtycke begärs endast vid behov via doConsent().
 

lang/sv_se.lang

@@ -345,9 +345,9 @@ public static function getFrontendCss(): string
         // 1. Prüfen ob Domain-spezifisches Theme existiert
         $domainTheme = null;
         $hasDomainConfig = false;
-        if (is_string(rex_request::server('HTTP_HOST'))) {
+        if ('' !== Utility::hostname()) {
             $frontend = new self(0);
-            $frontend->setDomain(rex_request::server('HTTP_HOST'));
+            $frontend->setDomain(Utility::hostname());
 
             // Prüfen ob Domain konfiguriert ist
             if ('' !== $frontend->domainName) {
@@ -544,8 +544,8 @@ public static function getCookieList(string $format = 'table', ?string $domainNa
 
         if (null === $domainName) {
             // Aktuelle Domain verwenden
-            if (is_string(rex_request::server('HTTP_HOST'))) {
-                $consent->setDomain(rex_request::server('HTTP_HOST'));
+            if ('' !== Utility::hostname()) {
+                $consent->setDomain(Utility::hostname());
             }
         } else {
             // Spezifische Domain verwenden

lib/Frontend.php

@@ -397,9 +397,14 @@ public static function getJavaScript(): string
         }
         self::$jsOutputted = true;
 
+        $addon = \rex_addon::get('consent_manager');
+        $sessionScope = $addon->getConfig('inline_consent_session_scope') ? 'true' : 'false';
+        
+        $configScript = '<script>window.consentManagerInlineOptions = { sessionScope: ' . $sessionScope . ' };</script>';
+
         // JavaScript-Datei laden
         $jsPath = rex_url::addonAssets('consent_manager', 'consent_inline.js');
-        return '<script defer src="' . $jsPath . '"></script>';
+        return $configScript . '<script defer src="' . $jsPath . '"></script>';
     }
 
     /**