Strati di protezione configurabili
La middleware pipeline applica filtri in ordine preciso: prima i middleware globali definiti in config/middleware.php per path prefix, poi quelli dichiarati inline sulle route con #[Middleware]. Ogni middleware implementa un metodo exec() che riceve il contesto MVC.
Il framework include middleware pronti all uso per le esigenze piu comuni: CSRF per i form, CORS per le API, rate limiting per proteggere endpoint sensibili, secure headers per hardening HTTP e visitor tracking per analytics.
Middleware inclusi
CsrfMiddleware— token validation automatica sui form POSTCorsMiddleware— configurazione CORS per endpoint APIRateLimitMiddleware— limite richieste per IP e endpointSecureHeaderMiddleware— HSTS, X-Frame-Options e altri header di sicurezzaMethodOverrideMiddleware— supporto PUT/DELETE via campo_METHOD
Aggiungere un middleware custom richiede una classe e una riga di configurazione: nessun boilerplate superfluo.