Harden uploads and enforce language-prefixed routes

README.md

@@ -10,14 +10,14 @@ Modern Django/Tailwind-baserad portal för att ta emot, granska och betala utlä
 3. `uv run python manage.py createsuperuser`
 4. `uv run python manage.py runserver`
 
-Nyckel-URLer (default):
-- Offentligt formulär `GET /claims/new/`
-- Bekräftelsesida `GET /claims/submitted/`
-- Adminlista `GET /claims/admin/`
-- Mina utlägg `GET /claims/mine/`
-- Användarhantering `GET /claims/users/`
-- Export-placeholder `GET /claims/export/`
-- Auth `GET /accounts/login|logout/`
+Nyckel-URLer (språkprefixed):
+- Offentligt formulär `GET /sv/claims/new/` eller `/en/claims/new/`
+- Bekräftelsesida `GET /sv/claims/submitted/`
+- Adminlista `GET /sv/claims/admin/`
+- Mina utlägg `GET /sv/claims/mine/`
+- Användarhantering `GET /sv/claims/users/`
+- Export-placeholder `GET /sv/claims/export/`
+- Auth `GET /sv/accounts/login|logout/`
 
 ---
 
@@ -48,16 +48,19 @@ Nyckel-URLer (default):
 ### 4. Viktiga inställningar
 | Variabel | Default | Beskrivning |
 | --- | --- | --- |
-| `CLAIMS_ENABLE_INTERNAL_PAYMENTS` | `true` | Styr “Betala”-flödet. Kan också togglas i Django admin > Systeminställningar. |
+| `CLAIMS_ENABLE_INTERNAL_PAYMENTS` | `true` | Styr “Betala”-flödet. Aktiveras endast via miljövariabel. |
 | `CLAIMS_EMAIL_ENABLED` | `false` | Slår på e-postaviseringar. Låt vara `false` i testläge. |
 | `CLAIMS_EMAIL_FROM` | `no-reply@claims.local` | Avsändare för utskick. |
 | `CLAIMS_ADMIN_NOTIFICATION_EMAIL` | tom | Om satt skickas notifiering vid nytt claim (när e-post är aktiverad). |
 | `EMAIL_BACKEND` | `django.core.mail.backends.console.EmailBackend` | Byt till SMTP i prod (se nedan). |
 | `EMAIL_HOST`, `EMAIL_PORT`, `EMAIL_USE_TLS`, `EMAIL_HOST_USER`, `EMAIL_HOST_PASSWORD` | tom | Standard Django SMTP-inställningar. |
+| `CLAIMS_MAX_RECEIPT_BYTES` | `10485760` | Maxstorlek per kvitto (i byte), default 10 MB. |
+| `CLAIMS_ALLOWED_RECEIPT_EXTENSIONS` | `pdf,png,jpg,jpeg` | Tillåtna filändelser (kommaseparerade). |
+| `CLAIMS_ALLOWED_RECEIPT_CONTENT_TYPES` | `application/pdf,image/png,image/jpeg` | Tillåtna MIME-typer (kommaseparerade). |
 | `LANGUAGE_CODE` | `sv` | Standardspråk. |
 | `LOCALE_PATHS` | `BASE_DIR/locale` | Katalog för `.po/.mo`. |
-| `LOGIN_REDIRECT_URL` | `/claims/admin/` | Efter inloggning. |
-| `LOGOUT_REDIRECT_URL` | `/accounts/login/` | Efter utloggning. |
+| `LOGIN_REDIRECT_URL` | `claims:admin-list` | Lazy reverse till `/[lang]/claims/admin/` efter inloggning. |
+| `LOGOUT_REDIRECT_URL` | `login` | Lazy reverse till `/[lang]/accounts/login/` efter utloggning. |
 
 SMTP-exempel:
 ```env
@@ -76,7 +79,7 @@ EMAIL_HOST_PASSWORD=secret
 
 ### 5. Underhåll & verktyg
 - **Reset claims:** `uv run python manage.py reset_claims` (bekräfta med `ja` eller använd `--noinput`). Tar bort alla claims/loggar/kvitton men lämnar användarkonton.
-- **Django admin:** `/admin/` används för projekt, grupper, superusers, SystemSetting mm. Staff-användare har automatiskt åtkomst.
+- **Django admin:** `/admin/` används för projekt, grupper och superusers. Staff-användare har automatiskt åtkomst.
 - **Testa konfiguration:** `uv run python manage.py check`.
 - **Språkreset:** Rensa cookies om språkväljaren inte byter språk (Django använder `django_language` cookien).