Có phải là một cách thực hành tốt để sử dụng URL trống cho thuộc tính hành động của biểu mẫu HTML không? (hành động = Quảng chí)

Tôi tự hỏi liệu có ai có thể đưa ra phản hồi "thực tiễn tốt nhất" cho việc sử dụng các hành động biểu mẫu HTML trống để đăng lại trang hiện tại không.

Có một bài viết hỏi hành động dạng HTML trống ở đây là gì và một số trang như thế này cho thấy nó ổn nhưng tôi muốn biết mọi người nghĩ gì.

Điều tốt nhất bạn có thể làm là bỏ hoàn toàn thuộc tính hành động. Nếu bạn để nó ra, biểu mẫu sẽ được gửi đến địa chỉ của tài liệu, tức là cùng một trang.

Cũng có thể để trống và bất kỳ trình duyệt nào thực hiện thuật toán gửi biểu mẫu HTML sẽ coi nó tương đương với địa chỉ của tài liệu, điều này chủ yếu là vì đó là cách trình duyệt hiện hoạt động:

8.Hãy hành động là yếu tố nộp của hành động .

9.Nếu hành động là chuỗi trống, hãy để hành động là địa chỉ của tài liệu .

Lưu ý: Bước này là vi phạm cố ý RFC 3986, sẽ yêu cầu xử lý URL cơ sở tại đây. Vi phạm này được thúc đẩy bởi mong muốn tương thích với nội dung cũ. [RFC3986]

Điều này chắc chắn hoạt động trong tất cả các trình duyệt hiện tại, nhưng có thể không hoạt động như mong đợi trong một số trình duyệt cũ hơn ( " trình duyệt làm những điều kỳ lạ với một hành động trống =" "thuộc tính " ), đó là lý do tại sao thông số này không khuyến khích các tác giả bỏ trống :

Các thuộc tính actionvà formactionnội dung, nếu được chỉ định, phải có một giá trị là một URL không trống hợp lệ có khả năng được bao quanh bởi các khoảng trắng .

Trên thực tế, phần phụ nộp Mẫu của dự thảo HTML5 hiện tại không cho phép action="". Nó chống lại thông số kỹ thuật.

Các thuộc tính actionvà formactionnội dung, nếu được chỉ định, phải có một giá trị là một URL không trống hợp lệ có khả năng được bao quanh bởi các khoảng trắng. (nhấn mạnh thêm)

Phần trích dẫn trong câu trả lời của Mercator là một yêu cầu về việc triển khai , không phải tác giả . Tác giả phải tuân theo các yêu cầu của tác giả. Để trích dẫn Cách đọc thông số kỹ thuật này :

Cụ thể, có các yêu cầu tuân thủ áp dụng cho nhà sản xuất, ví dụ như tác giả và tài liệu họ tạo và có yêu cầu tuân thủ áp dụng cho người tiêu dùng, ví dụ như trình duyệt Web. Chúng có thể được phân biệt bởi những gì chúng yêu cầu: một yêu cầu đối với nhà sản xuất nêu rõ những gì được phép, trong khi yêu cầu đối với người tiêu dùng nói rằng phần mềm hoạt động như thế nào.

Sự thay đổi từ HTML4 đã cho phép một URL trống được thực hiện bởi vì các trình duyệt của Wikipedia làm những điều kỳ lạ với một action=""thuộc tính trống . Xem xét lý do cho sự thay đổi, có lẽ tốt nhất không nên làm điều đó trong HTML4.

Không bao gồm thuộc tính hành động sẽ mở trang lên tới các cuộc tấn công nhấp chuột iframe , bao gồm một vài bước đơn giản:

• Kẻ tấn công bao bọc trang của bạn trong iframe
• URL iframe bao gồm một tham số truy vấn có cùng tên với trường biểu mẫu
• Khi biểu mẫu được gửi, giá trị truy vấn được chèn vào cơ sở dữ liệu
• Thông tin nhận dạng của người dùng (email, địa chỉ, v.v.) đã bị xâm phạm

Người giới thiệu

• Bỏ qua các biện pháp bảo vệ CSRF với ClickJacking và Ô nhiễm tham số HTTP

Điều này sẽ xác thực với HTML5.

<form action="#">

TRONG HTML 5 action=""KHÔNG ĐƯỢC HPORT TRỢ NÀO ĐỪNG LÀM ĐIỀU NÀY. THỰC HÀNH BAD.

Nếu thay vào đó, bạn hoàn toàn phủ nhận hành động hoàn toàn, nó sẽ gửi đến cùng một trang theo mặc định, tôi tin rằng đây là cách thực hành tốt nhất:

<form>This will submit to the current page</form>

Nếu bạn đang sử dụng biểu mẫu bằng cách sử dụng php, bạn có thể muốn xem xét các điều sau đây. đọc thêm về nó ở đây

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

Ngoài ra, bạn có thể sử dụng #chú ý mặc dù điều này sẽ hoạt động như một mỏ neo và cuộn lên đầu trang.

<form action="#">

Tôi thường sử dụng action = "", đó là XHTML hợp lệ và giữ lại dữ liệu GET trong URL.

Tôi nghĩ rằng tốt nhất là nêu rõ nơi gửi biểu mẫu. Nếu bạn muốn hoàn toàn an toàn, hãy nhập cùng một URL mà biểu mẫu được bật trong thuộc tính hành động nếu bạn muốn nó gửi lại chính nó. Mặc dù các trình duyệt chính đánh giá ""cùng một trang, bạn không thể đảm bảo rằng các trình duyệt không chính thống sẽ.

Và tất nhiên, toàn bộ URL bao gồm dữ liệu GET như Juddling chỉ ra.

Chỉ dùng

?

<form action="?" method="post" enctype="multipart/form-data" name="myForm" id="myForm">

Nó không vi phạm các tiêu chuẩn HTML5.

Tôi đã từng làm điều này rất nhiều khi tôi làm việc với Classic ASP. Thông thường tôi đã sử dụng nó khi cần xác thực phía máy chủ một số loại cho đầu vào (trước ngày AJAX). Điểm thu hút chính mà tôi thấy là nó không tách rời logic lập trình khỏi phần trình bày, ở cấp độ tệp.

Tôi sử dụng để không chỉ định thuộc tính hành động nào cả. Đó thực sự là cách khung của tôi được thiết kế tất cả các trang được gửi lại chính xác đến cùng một địa chỉ. Nhưng hôm nay tôi phát hiện ra vấn đề. Đôi khi tôi mượn giá trị thuộc tính hành động để thực hiện một số cuộc gọi nền (tôi đoán một số người đặt tên cho chúng là AJAX). Vì vậy, tôi thấy rằng IE giữ giá trị thuộc tính hành động là trống nếu thuộc tính hành động không được chỉ định. Theo tôi hiểu thì hơi lạ một chút, vì nếu không có thuộc tính hành động nào được chỉ định, thì đối tác JavaScript ít nhất phải không được xác định. Dù sao, quan điểm của tôi là trước khi bạn chọn thực hành tốt nhất, bạn cần hiểu thêm ngữ cảnh, giống như bạn sẽ sử dụng thuộc tính trong JavaScript hay không.