这将在HTML5中验证。

<form action="#">

我认为最好明确地说明表单的位置。如果你想要完全安全，如果你想要表单提交回自身，在action属性中输入相同的URL。尽管主流浏览器会将""赋值到同一页面，但不能保证非主流浏览器也会这样做。

当然，整个URL包括GET数据，就像Juddling指出的那样。

当我使用Classic ASP时，我经常这样做。我通常在需要对输入进行某种服务器端验证时使用它(在AJAX出现之前)。我所看到的主要缺点是它没有在文件级别上将编程逻辑与表示分开。

I use to do not specify action attribute at all. It is actually how my framework is designed all pages get submitted back exact to same address. But today I discovered problem. Sometimes I borrow action attribute value to make some background call (I guess some people name them AJAX). So I found that IE keeps action attribute value as empty if action attribute wasn't specified. It is a bit odd in my understanding, since if no action attribute specified, the JavaScript counterpart has to be at least undefined. Anyway, my point is before you choose best practice you need to understand more context, like will you use the attribute in JavaScript or not.

如果不包含action属性，页面会被iframe点击劫持攻击，这涉及到几个简单的步骤:

攻击者将您的页面包装在iframe中 iframe URL包含一个与表单字段同名的查询参数 提交表单时，将查询值插入到数据库中 用户的身份信息(电子邮件，地址等)已被泄露

参考文献

绕过CSRF保护ClickJacking和HTTP参数污染

在HTML 5中action=""是不支持的，所以不要这样做。不好的实践。

如果你完全否定动作，默认情况下它会提交到同一个页面，我相信这是最好的做法:

<form>This will submit to the current page</form>

如果您使用php提交表单，您可能需要考虑以下内容。点击这里阅读更多信息。

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

或者你也可以使用# bear in mind，这将像一个锚，滚动到页面顶部。

<form action="#">