我想知道是否有人可以给出一个“最佳实践”的回应,使用空白HTML表单动作发布回当前页面。
有一个帖子问一个空白的HTML表单动作在这里做什么,一些像这样的页面认为它是好的,但我想知道人们是怎么想的。
我认为最好明确地说明表单的位置。如果你想要完全安全,如果你想要表单提交回自身,在action属性中输入相同的URL。尽管主流浏览器会将""赋值到同一页面,但不能保证非主流浏览器也会这样做。
当然,整个URL包括GET数据,就像Juddling指出的那样。
当我使用Classic ASP时,我经常这样做。我通常在需要对输入进行某种服务器端验证时使用它(在AJAX出现之前)。我所看到的主要缺点是它没有在文件级别上将编程逻辑与表示分开。
您能做的最好的事情就是完全省略action属性。如果你省略了它,表格将被提交到文件的地址,即同一页。
也可以将其保留为空,任何实现HTML表单提交算法的浏览器都会将其视为等同于文档的地址,这主要是因为这是浏览器当前的工作方式:
8. 让action成为提交者元素的动作。 9. 如果action为空字符串,则让action为文档的地址。 注意:这一步是故意违反RFC 3986的,它需要在这里处理基本URL。这种违反的动机是希望与遗留内容兼容。(RFC3986)
这肯定适用于当前所有的浏览器,但在一些旧的浏览器中可能无法正常工作(“浏览器会对空的action=""属性"做一些奇怪的事情),这就是为什么规范强烈不鼓励作者让它为空:
action和formaction内容属性(如果指定)必须具有一个有效的非空URL值,该值可能被空格包围。
实际上,当前HTML5草案的Form Submission分段不允许action=""。这是违反规格的。
action和formaction内容属性(如果指定)必须具有一个有效的非空URL值,该值可能被空格包围。(重点)
墨卡托的回答中引用的部分是对实现的要求,而不是对作者的要求。作者必须遵循作者要求。如何阅读本规范:
特别是,有一些一致性要求适用于生产者,例如作者和他们创建的文档,还有一些一致性要求适用于消费者,例如Web浏览器。它们可以通过它们的需求来区分:对生产者的需求说明了允许什么,而对消费者的需求说明了软件如何操作。
html4允许一个空的url,而html4的改变是因为“浏览器对一个空的action=”“属性”做了一些奇怪的事情。考虑到更改的原因,最好也不要在HTML4中这样做。
如果不包含action属性,页面会被iframe点击劫持攻击,这涉及到几个简单的步骤:
攻击者将您的页面包装在iframe中 iframe URL包含一个与表单字段同名的查询参数 提交表单时,将查询值插入到数据库中 用户的身份信息(电子邮件,地址等)已被泄露
参考文献
绕过CSRF保护ClickJacking和HTTP参数污染
I use to do not specify action attribute at all. It is actually how my framework is designed all pages get submitted back exact to same address. But today I discovered problem. Sometimes I borrow action attribute value to make some background call (I guess some people name them AJAX). So I found that IE keeps action attribute value as empty if action attribute wasn't specified. It is a bit odd in my understanding, since if no action attribute specified, the JavaScript counterpart has to be at least undefined. Anyway, my point is before you choose best practice you need to understand more context, like will you use the attribute in JavaScript or not.
只使用
?
<form action="?" method="post" enctype="multipart/form-data" name="myForm" id="myForm">
它并不违反HTML5标准。
在HTML 5中action=""是不支持的,所以不要这样做。不好的实践。
如果你完全否定动作,默认情况下它会提交到同一个页面,我相信这是最好的做法:
<form>This will submit to the current page</form>
如果您使用php提交表单,您可能需要考虑以下内容。点击这里阅读更多信息。
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
或者你也可以使用# bear in mind,这将像一个锚,滚动到页面顶部。
<form action="#">
推荐文章
- 如何分割逗号分隔的字符串?
- Java字符串—查看字符串是否只包含数字而不包含字母
- 为什么我的CSS3媒体查询不能在移动设备上工作?
- 用javascript检查输入字符串中是否包含数字
- 下一个元素的CSS选择器语法是什么?
- 我如何用CSS跨浏览器绘制垂直文本?
- 如何获得box-shadow在左侧和右侧
- 相对定位一个元素,而不占用文档流中的空间
- Java:检查enum是否包含给定的字符串?
- 用PHP删除字符串的前4个字符
- 如何从字符串的开始或结束删除所有空白?
- 字符串到JS中的对象
- 如何在jQuery检索复选框值
- 为什么Python的原始字符串不能以一个反斜杠结尾?
- 我如何读整个文件到性病::字符串在c++ ?
