Content-Security-Policy: form-action Direktive

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since April 2017.

Die HTTP-Content-Security-Policy (CSP) form-action-Direktive beschränkt die URLs, die als Ziel von Formularübermittlungen aus einem bestimmten Kontext verwendet werden können.

Warnung: Ob form-action Weiterleitungen nach einer Formularübermittlung blockieren sollte, wird diskutiert, und die Implementierungen dieser Funktion in Browsern sind uneinheitlich (z. B. blockiert Firefox 57 die Weiterleitungen nicht, während Chrome 63 dies tut).

CSP-Version	2
Direktiventyp	Navigationsdirektive
`default-src` Fallback	Nein. Wird dies nicht festgelegt, ist alles erlaubt.

Syntax

http

Content-Security-Policy: form-action 'none';
Content-Security-Policy: form-action <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Keine Formularübermittlungen dürfen durchgeführt werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von source expression-Werten. Formularübermittlungen dürfen an URLs gesendet werden, die mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Direktive gelten die folgenden Quellausdruckswerte:

Beispiele

Meta-Tag-Konfiguration

html

<meta http-equiv="Content-Security-Policy" content="form-action 'none'" />

Apache-Konfiguration

apacheconf

<IfModule mod_headers.c>
  Header set Content-Security-Policy "form-action 'none';"
</IfModule>

Nginx-Konfiguration

nginx

add_header Content-Security-Policy "form-action 'none';"

Verstoßfall

Die Verwendung eines <form>-Elements mit einer auf inline JavaScript gesetzten Aktion führt zu einem CSP-Verstoß.