このページはコミュニティーの尽力で英語から翻訳されました。MDN Web Docs コミュニティーについてもっと知り、仲間になるにはこちらから。

View in English Always switch to English

CSP: form-action

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since ⁨2017年4月⁩.

HTTP の Content-Security-Policy (CSP) における form-action ディレクティブは、指定のコンテキストからフォームの送信先として使用される URL を制限します。

警告: form-action がフォーム送信後のリダイレクトをブロックするかどうかは 議論の最中 であり、この点に関する実装はブラウザーによって異なります(例えば、 Firefox 57 はリダイレクトをブロックしませんが、 Chrome 63 はリダイレクトをブロックします。)

CSP バージョン 2
ディレクティブ種別 ナビゲーションディレクティブ
default-src による代替 なし。このディレクティブが設定されていない場合、すべてが許可されます。

構文

form-action ポリシーには、 1 つ以上のソースを設定することができます。

このディレクティブは、次のいずれかの値を指定することができます。

'none'

フォームの送信は行われません。単一引用符は必須です。

<source-expression-list>

ソース表現の値を空白で区切ったリストです。フォームの送信は、指定されたソース表現のいずれかと URL が一致した場合に行われます。このディレクティブでは、以下のソース表現の値が適用できます。

meta タグの設定

Apache の設定

Nginx の設定

違反している場合

インラインの JavaScript で action を設定した <form> 要素 は CSP 違反となります。

仕様書

Specification
Content Security Policy Level 3
# directive-form-action

ブラウザーの互換性

関連情報