Полезно ли использовать пустой URL-адрес для атрибута действия формы HTML? (Действие = «»)

Мне интересно, может ли кто-нибудь дать ответ «передовой опыт» на использование пустых действий в форме HTML для публикации на текущей странице.

Есть пост, спрашивающий, что здесь делает пустое действие HTML-формы, и некоторые страницы, подобные этой, предполагают, что это хорошо, но я хотел бы знать, что думают люди.

Лучшее, что вы можете сделать, это вообще не использовать атрибут action. Если вы пропустите это, форма будет отправлена ​​на адрес документа, то есть на ту же страницу.

Также возможно оставить его пустым, и любой браузер, реализующий алгоритм отправки формы HTML, будет рассматривать его как эквивалент адреса документа, что он делает главным образом потому, что в настоящее время работают браузеры:

8.Пусть действие будет податель элемента действия .

9.Если action - пустая строка, пусть action будет адресом документа .

Примечание. Этот шаг является преднамеренным нарушением RFC 3986, что потребует обработки базового URL здесь. Это нарушение мотивировано желанием совместимости с устаревшим контентом. [RFC3986]

Это определенно работает во всех текущих браузерах, но может не работать должным образом в некоторых старых браузерах ( " браузеры делают странные вещи с пустым атрибутом action =" " " ), поэтому спецификация настоятельно не рекомендует авторам оставлять его пустым :

В actionи formactionсодержании атрибуты, если указаны, должны иметь значение , которое является действительной непустой URL потенциально окружены пробелами .

На самом деле, подраздел «Отправка формы» текущего проекта HTML5 не позволяет action="". Это против спец.

В actionи formactionсодержании атрибуты, если указаны, должны иметь значение , которое является действительной непустой URL потенциально окружены пробелами. (выделение добавлено)

Цитируемый раздел в ответе Меркатора является требованием к реализациям , а не авторам . Авторы должны следовать требованиям автора. Цитировать Как читать эту спецификацию :

В частности, существуют требования соответствия, которые применяются к производителям, например авторам и документам, которые они создают, и существуют требования соответствия, которые применяются к потребителям, например, веб-браузерам. Их можно отличить по тому, что им требуется: требование к производителю указывает, что разрешено, а требование к потребителю указывает, как должно действовать программное обеспечение.

Изменение в HTML4, которое разрешало пустой URL, было сделано потому, что « браузеры делают странные вещи с пустым action=""атрибутом ». Учитывая причину изменения, вероятно, лучше не делать этого в HTML4.

Не включая атрибут действия, вы открываете страницу для атак iframe clickjacking , которые включают в себя несколько простых шагов:

• Злоумышленник оборачивает вашу страницу в фрейм
• URL-адрес iframe содержит параметр запроса с тем же именем, что и поле формы
• Когда форма отправлена, значение запроса вставляется в базу данных.
• Идентификационная информация пользователя (адрес электронной почты, адрес и т. Д.) Была скомпрометирована

Ссылки

• Обход защиты CSRF с помощью ClickJacking и загрязнения параметров HTTP

Это будет подтверждено HTML5.

<form action="#">

В HTML 5 action=""не поддерживается, так что не делайте этого. ПЛОХАЯ ПРАКТИКА.

Если вместо этого вы полностью отрицаете действие, оно по умолчанию будет отправляться на ту же страницу, я считаю, что это лучшая практика:

<form>This will submit to the current page</form>

Если вы используете форму php, вы можете рассмотреть следующие вопросы. Об этом подробнее здесь.

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

В качестве альтернативы вы можете использовать #помнить, что это будет действовать как якорь и прокручивать страницу вверх.

<form action="#">

Я обычно использую action = "", который является допустимым XHTML и сохраняет данные GET в URL.

Я думаю, что лучше четко указать, где форма сообщений. Если вы хотите быть в полной безопасности, введите тот же URL-адрес, на котором находится форма, в атрибуте действия, если вы хотите, чтобы он отправлялся обратно самому себе. Хотя обычные браузеры оценивают ""одну и ту же страницу, вы не можете гарантировать, что неосновные браузеры будут.

И, конечно же, весь URL, включая GET-данные, на которые указывает Juddling.

Просто используйте

?

<form action="?" method="post" enctype="multipart/form-data" name="myForm" id="myForm">

Это не нарушает стандарты HTML5.

Я часто делал это, когда работал с Classic ASP. Обычно я использовал его, когда для входа требовалась валидация на стороне сервера (до дней AJAX). Основной недостаток, который я вижу, заключается в том, что он не отделяет логику программирования от представления на уровне файлов.

Я использую, чтобы не указывать атрибут действия вообще. На самом деле, так устроен мой фреймворк, все страницы возвращаются точно по одному и тому же адресу. Но сегодня я обнаружил проблему. Иногда я заимствую значение атрибута действия, чтобы сделать некоторый фоновый вызов (я думаю, некоторые люди называют их AJAX). Итак, я обнаружил, что IE сохраняет значение атрибута действия как пустое, если атрибут действия не был указан. Это немного странно в моем понимании, так как если атрибут действия не указан, аналог JavaScript должен быть как минимум неопределенным. В любом случае, моя точка зрения заключается в том, что перед тем, как вы выберете лучшую практику, вам нужно понять больше контекста, например, использовать атрибут в JavaScript или нет.