propform.ioHilfe

Deutsch English Italiano Español Français
🚀 Erste Schritte
Übersicht Schnellstart-Videos Erste Schritte
🔌 Mit onOffice verbinden
Marketplace freischalten & aufrufen API-Benutzer einrichten (Anlegen, Rechte, Token, E-Mail)
⚙️ Account-Einstellungen
Account-Einstellungen
📋 Formulare
Formular erstellen Formulareinstellungen Auto-Submit & Conditional Routing PDF-Erstellung Vorlagen-Galerie & Schnellstart-Patterns Suchprofile (Suchkriterien)
🧱 Felder
Felder — alle Typen & Optionen Spezial-Feldtypen (Range Slider, Auto-Vervollständigung) Bedingungen, Regeln & Berechnungen Download-Felder KI-Funktionen (Spracheingabe, Auto-Fill, ChatGPT)
🎨 Design & Branding
Logo, Farben, iFrame, Mobile
🔄 Vorausfüllen & Datensätze
Vorausfüllen & Datensätze laden Mehrere Datensätze verbinden (Käufer/Eigentümer)
📨 E-Mail in propform
E-Mail-Optionen & Empfänger-Logik
📊 Tracking & Webhooks
Tracking (GTM, Pixel, Etracker) Webhooks
🔒 Datenschutz
Datenschutz & Datensparsamkeit Formular-Schutz & Zugriffskontrolle
📚 Referenz
Makros (propform & onOffice) Emojis & Symbole für onOffice URL-Parameter-Übersicht
❓ Häufige Fragen
Übersicht Mein Formular schreibt keine Daten Felder werden nicht angezeigt E-Mail kommt nicht an Datei-Upload schlägt fehl UUID-Vorausfüllung funktioniert nicht Formular wird falsch dargestellt Werte werden nicht ans PDF übergeben Spam-Schutz & Bot-Abwehr Mehrsprachige Formulare Tracking im eingebetteten Formular (iFrame) Mehrere Käufer / Eigentümer verbinden Filter pro Formular (Datensatz-Beschränkung) Immobilie duplizieren bei Re-Vermarktung Formel-Felder in onOffice neu berechnen Adressdatensatz mit dieser UUID nicht gefunden Formular ist abgelaufen / Sitzung ungültig
🤝 Berater-Workflow
Reseller, Sub-Accounts, Newsletter-Strecken
🆘 Hilfe & Beratung
Support & Berater
📰 Was ist neu?
Updates & Neuigkeiten
Zurück zu propform.io

Filter pro Formular — Datensatz-Zugriff beschränken

Bei Formularen, die Adress- oder Immobilien-Datensätze laden oder bearbeiten (z.B. „Adresse bearbeiten", „Immobilie bearbeiten", „Daten ergänzen"), kann ein User theoretisch über Manipulation des UUID-Parameters in der URL beliebige Datensätze ansprechen, die der API-User in onOffice sehen darf. Der Filter pro Formular beschränkt das.

Wann wichtig?

Kritisch für öffentlich zugängliche Formulare, die Datensätze ändern:

  • Mieter-Selbstauskunft, die einen Adressdatensatz aktualisiert
  • Objekt-Übergabe-Formular, das in eine Immobilie schreibt
  • Rückmeldungs-Formulare an Eigentümer/Käufer
  • Daten-Korrektur-Formulare per E-Mail-Link

Ohne Filter könnte jemand mit der korrekten URL-Struktur (?address[ID]=<UUID>) jeden Datensatz im Account-Sichtbereich des API-Users laden — auch wenn er nichts damit zu tun hat.

Setup

1. In onOffice einen Filter anlegen

Filter sind ein onOffice-Standard-Feature: Modul Adressen / Immobilien → Filter-Verwaltung → neuer Filter.

Beispiel-Filter:

  • „Nur aktive Immobilien" (Status = aktiv)
  • „Nur Suchprofile aus Region X"
  • „Nur Adressen mit Kontaktart = Mieter"
  • „Nur Status > 5" (für Vermarktungs-Reife)

2. Filter im propform-Formular aktivieren

Im Form-Editor → Adress- oder Immobilien-Felder → Filtereinstellungen → den onOffice-Filter aus dem Dropdown auswählen.

3. Effekt

Das Formular kann jetzt nur Datensätze laden/bearbeiten, die im Filter sind. Versucht jemand, eine UUID außerhalb des Filters anzusprechen → Formular weist die Anfrage ab.

Best Practices

  • Filter so eng wie möglich: Nur Datensätze, die das spezifische Formular wirklich bearbeiten soll
  • Pro Formular eigener Filter: Verschiedene Formulare brauchen oft verschiedene Beschränkungen
  • Filter regelmäßig prüfen: Wenn neue Datensätze automatisch in den Filter rutschen sollen, müssen die Filter-Bedingungen entsprechend dynamisch sein
  • Testen: Mit einer UUID außerhalb des Filters versuchen, das Formular aufzurufen — sollte abgelehnt werden

Kombination mit anderen Schutz-Mechanismen

Filter pro Formular ist eine Daten-Schutz-Schicht, kein Zugriffs-Schutz für das Formular selbst. Ergänzend:

  • IP-Whitelist — wer darf das Formular überhaupt aufrufen
  • Formular-Passwort — Aufruf nur mit Passwort
  • Formularschlüssel via URL-Parameter — dynamischer Token-Schutz

Mehr dazu in der Formular-Schutz-Doku.

Verwandt