我认为最好明确地说明表单的位置。如果你想要完全安全，如果你想要表单提交回自身，在action属性中输入相同的URL。尽管主流浏览器会将""赋值到同一页面，但不能保证非主流浏览器也会这样做。

当然，整个URL包括GET数据，就像Juddling指出的那样。

我认为最好明确地说明表单的位置。如果你想要完全安全，如果你想要表单提交回自身，在action属性中输入相同的URL。尽管主流浏览器会将""赋值到同一页面，但不能保证非主流浏览器也会这样做。

当然，整个URL包括GET数据，就像Juddling指出的那样。

如果不包含action属性，页面会被iframe点击劫持攻击，这涉及到几个简单的步骤:

攻击者将您的页面包装在iframe中 iframe URL包含一个与表单字段同名的查询参数 提交表单时，将查询值插入到数据库中 用户的身份信息(电子邮件，地址等)已被泄露

参考文献

绕过CSRF保护ClickJacking和HTTP参数污染

在HTML 5中action=""是不支持的，所以不要这样做。不好的实践。

如果你完全否定动作，默认情况下它会提交到同一个页面，我相信这是最好的做法:

<form>This will submit to the current page</form>

如果您使用php提交表单，您可能需要考虑以下内容。点击这里阅读更多信息。

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

或者你也可以使用# bear in mind，这将像一个锚，滚动到页面顶部。

<form action="#">

当你放空动作时，一些安全过滤认为它是恶意的或网络钓鱼。因此，他们可以阻止你的页面。所以建议不要让action=为空。

当我使用Classic ASP时，我经常这样做。我通常在需要对输入进行某种服务器端验证时使用它(在AJAX出现之前)。我所看到的主要缺点是它没有在文件级别上将编程逻辑与表示分开。