Чи корисно використовувати порожню URL-адресу для атрибута дії форми HTML? (дія = “”)

Мені цікаво, чи може хтось дати відповідь "найкращих практик" на використання пустих дій у формі HTML для публікації на поточній сторінці.

Існує публікація із запитанням про те, що тут робить порожня форма HTML, а деякі сторінки, як ця, напрошують це добре, але я хотів би знати, що думають люди.

Найкраще, що ви можете зробити, це взагалі опустити атрибут дії. Якщо ви не залишите його, форма буде надіслана на адресу документа, тобто на ту саму сторінку.

Можна також залишити його порожнім, і будь-який веб-переглядач, що реалізує алгоритм подання форми HTML, буде вважати його еквівалентним адресі документа, що це робиться головним чином, оскільки саме так працюють браузери:

8.Нехай дію буде подавець елемента дії .

9.Якщо дія - порожній рядок, нехай дія буде адресою документа .

Примітка. Цей крок є навмисним порушенням RFC 3986, що вимагає тут обробки базової URL-адреси. Це порушення мотивоване прагненням до сумісності зі старим вмістом. [RFC3986]

Це безумовно працює у всіх поточних браузерах, але може не працювати, як очікувалося, у деяких старих браузерах ( " браузери дивні речі з порожньою дією =" "атрибут " ), саме тому специфікація сильно заважає авторам залишати його порожнім :

В actionі formactionзміст атрибути, якщо вказані, повинні мати значення , яке є дійсною непорожній URL потенційно оточені пробілами .

Насправді підрозділ подання форми для поточного проекту HTML5 не дозволяє action="". Це проти спец.

В actionі formactionзміст атрибути, якщо вказані, повинні мати значення , яке є дійсною непорожній URL потенційно оточені пробілами. (наголос додано)

Цитований розділ у відповіді Меркатора є вимогою до реалізацій , а не авторам . Автори повинні виконувати вимоги автора. Цитувати Як читати цю специфікацію :

Зокрема, є вимоги відповідності, що стосуються виробників, наприклад, авторів та створені ними документи, а також є вимоги відповідності, що стосуються споживачів, наприклад веб-браузери. Їх можна розрізнити по тому, що вони вимагають: вимога до виробника вказує, що дозволено, тоді як вимога до споживача визначає, яким чином діє програмне забезпечення.

Зміна HTML4, яка дозволила пусту URL-адресу, була внесена через те, що " браузери дивні речі мають порожній action=""атрибут ". Враховуючи причину зміни, можливо, найкраще також цього не робити в HTML4.

Якщо не включати атрибут дії, відкривається сторінка до атак, що виконують кліки iframe , які включають кілька простих кроків:

• Зловмисник загортає вашу сторінку в кадр
• URL-адреса iframe містить параметр запиту з тим самим іменем, що і поле форми
• Після подання форми значення запиту вставляється в базу даних
• Ідентифікаційна інформація користувача (електронна адреса, адреса тощо) була порушена

Список літератури

• Обхід захисту CSRF за допомогою забруднення параметрів ClickJacking та HTTP

Це буде підтверджено HTML5.

<form action="#">

В HTML 5 action=""НЕ ПІДТРИМУЄТЬСЯ, НЕ РОБИТИ ЦЕ. БАГА ПРАКТИКА.

Якщо замість цього ви повністю заперечуєте дію, вона за замовчуванням подається на ту саму сторінку, я вважаю, що це найкраща практика:

<form>This will submit to the current page</form>

Якщо ви подаєте форму за допомогою php, ви можете розглянути наступне. детальніше про це читайте тут.

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

Крім того, ви можете використовувати #на увазі, хоча це буде діяти як якір і прокручувати вгору сторінки.

<form action="#">

Я зазвичай використовую action = "", що є XHTML дійсним і зберігає дані GET в URL-адресі.

Я думаю, що найкраще чітко вказати, де форма розміщується. Якщо ви хочете бути повністю безпечними, введіть ту саму URL-адресу, на якій розміщена форма, в атрибут дії, якщо ви хочете, щоб вона поверталася до себе. Хоча основні веб-переглядачі оцінюються ""на одній і тій же сторінці, ви не можете гарантувати, що браузери, які не є основними, будуть.

І звичайно, вся URL-адреса, включаючи GET-дані, як Juddling, вказує.

Просто використовуйте

?

<form action="?" method="post" enctype="multipart/form-data" name="myForm" id="myForm">

Він не порушує стандартів HTML5.

Раніше я це робив багато, коли працював з Classic ASP. Зазвичай я використовував його, коли для введення даних (до днів AJAX) потрібна була певна перевірка на стороні сервера. Основна недоліка, яку я бачу, - це те, що вона не відокремлює логіку програмування від презентації на рівні файлів.

Я використовую, щоб взагалі не вказувати атрибут дії. Насправді, як розроблено мою основу, всі сторінки надсилаються в точності на ту саму адресу. Але сьогодні я виявив проблему. Іноді я запозичую значення атрибуту дії, щоб здійснити деякий фоновий дзвінок (я думаю, деякі люди називають їх AJAX). Тож я виявив, що IE зберігає значення атрибута дії як порожнє, якщо атрибут дії не вказаний. На мій погляд, це трохи дивно, оскільки якщо не вказаний атрибут дії, аналог JavaScript повинен бути принаймні невизначеним. У будь-якому разі, я висловлюю думку, перш ніж вибрати кращу практику, вам потрібно зрозуміти більше контексту, як ви будете використовувати атрибут у JavaScript чи ні.