Мне интересно, может ли кто-нибудь дать ответ "передовой практики" на использование пустых действий HTML-формы для отправки на текущую страницу.
Есть сообщение с вопросом, что здесь делает пустая HTML-форма, а также некоторые страницы, такие как этот предполагаю, что это нормально, но я бы хотел знаю, что думают люди.
Лучшее, что вы можете сделать, - это вообще не использовать атрибут действия. Если вы его не укажете, форма будет отправлена по адресу документа, то есть на той же странице.
Также можно оставить его пустым, и любой браузер, реализующий алгоритм отправки HTML-формы будет рассматривать его как эквивалент адреса документа, что происходит главным образом потому, что в настоящее время браузеры работают следующим образом:
8.Пусть действие будет элемента submitter. действие.
9.Если действие - это пустая строка, пусть действие будет адрес документа.Примечание. Этот шаг представляет собой умышленное нарушение RFC 3986, которое потребует здесь обработки базового URL. Это нарушение мотивировано стремлением к совместимости с устаревшим контентом. [RFC3986]
Это определенно работает во всех текущих браузерах, но может не работать должным образом в некоторых старых браузерах (браузеры делают странные вещи с пустым атрибутом action =), поэтому в спецификации настоятельно не рекомендуется оставлять его пустым:
Атрибуты содержимого
actionиformaction, если они указаны, должны иметь значение, которое является действительный непустой URL-адрес, потенциально окруженный пробелами.
action="" - см. Мой ответ ...
- person derobert; 13.03.2012
Фактически, подраздел "Отправка формы" текущего черновика HTML5 не позволяет action="". Это противоречит спецификации.
Атрибуты содержимого
actionиformaction, если они указаны, должны иметь значение, которое является допустимым непустым URL-адресом, потенциально окруженным пробелами. (курсив добавлен)
Цитируемый раздел в ответе меркатора является требованием для реализаций, а не для авторов . Авторы должны соблюдать требования автора. Чтобы процитировать Как читать эту спецификацию :
В частности, существуют требования соответствия, которые применяются к производителям, например, авторам и документам, которые они создают, и есть требования соответствия, которые применяются к потребителям, например веб-браузерам. Их можно различать по тому, что они требуют: в требовании к производителю указывается, что разрешено, а в требовании к потребителю указывается, как должно действовать программное обеспечение.
Изменение с HTML4, которое допускало пустой URL-адрес, было сделано потому, что « браузеры делают странные вещи с пустым атрибутом action="" ». Учитывая причину изменения, вероятно, лучше не делать этого и в HTML4.
action, чтобы указать, что форма должна быть отправлена на адрес документа? Кажется, так оно и есть, если указано.
- person Kerrick; 01.06.2012
Без атрибута action страница открывается до кликджекинга iframe атаки, которые включают несколько простых шагов:
Ссылки
$_POST вместо $_REQUEST, чтобы избежать этого. Если в коде фреймворка используется $_REQUEST, используйте прерыватель iframe.
- person Paul Sweatte; 22.03.2015
Это будет подтверждено с помощью HTML5.
<form action="#">
action="."?
- person s427; 07.01.2013
action="." - плохая идея для общего случая. URL-адрес типа example.com/login отображается просто на example.com/.
- person Torsten Bronger; 26.11.2014
В HTML 5 action="" НЕ ПОДДЕРЖИВАЕТСЯ, ПОЭТОМУ НЕ ДЕЛАЙТЕ ЭТО. ПЛОХАЯ ПРАКТИКА.
Если вместо этого вы полностью откажетесь от действия, оно по умолчанию отправится на ту же страницу, я считаю, что это лучшая практика:
<form>This will submit to the current page</form>
Если вы заполняете форму с помощью php, вы можете рассмотреть следующее. подробнее об этом здесь.
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
В качестве альтернативы вы можете использовать #, но имейте в виду, что это будет действовать как якорь и прокручивать страницу до верха.
<form action="#">
htmlspecialchars() не позволяет людям использовать ваш php-скрипт против вас.
- person Buts; 23.11.2016
Я думаю, что лучше явно указать, где публикуется форма. Если вы хотите быть в полной безопасности, введите тот же URL-адрес, что и форма, в атрибуте действия, если вы хотите, чтобы она отправлялась сама себе. Хотя основные браузеры оценивают "" одну и ту же страницу, вы не можете гарантировать, что это будут делать неосновные браузеры.
И, конечно же, весь URL-адрес, включая данные GET, как указывает Джаддлинг.
Просто используйте
?
<form action="?" method="post" enctype="multipart/form-data" name="myForm" id="myForm">
Это не нарушает стандарты HTML5.
get параметры. Форма по следующему URL-адресу будет повреждена example.com/update_user?user_id=1, потому что форма будет отправлена на example.com/update_user?
- person vikki; 17.10.2016
Я часто делал это, когда работал с Classic ASP. Обычно я использовал его, когда для ввода требовалась какая-то проверка на стороне сервера (до дней AJAX). Главный недостаток, который я вижу, заключается в том, что он не отделяет логику программирования от презентации на уровне файлов.
Я использую, чтобы вообще не указывать атрибут действия. На самом деле так устроен мой фреймворк: все страницы отправляются обратно по одному и тому же адресу. Но сегодня я обнаружил проблему. Иногда я заимствую значение атрибута действия, чтобы сделать фоновый вызов (я думаю, некоторые люди называют их AJAX). Итак, я обнаружил, что IE сохраняет значение атрибута действия как пустое, если атрибут действия не был указан. В моем понимании это немного странно, поскольку, если атрибут действия не указан, аналог JavaScript должен быть как минимум неопределенным. В любом случае, я хочу сказать, что прежде чем вы выберете лучшую практику, вам нужно лучше понять контекст, например, будете ли вы использовать атрибут в JavaScript или нет.
Когда вы ставите пустое действие, некоторые фильтры безопасности считают его вредоносным или фишинговым. Следовательно, они могут заблокировать вашу страницу. Поэтому рекомендуется не оставлять action = blank.
<form name="xyz" >). Он отправит действие самостоятельно. - person engineer schedule 20.06.2011