CSP: form-action
Baseline
広く利用可能
この機能は広く実装されており、多くのバージョンの端末やブラウザーで動作します。2017年4月以降、すべてのブラウザーで利用可能です。
HTTP の Content-Security-Policy (CSP) における form-action ディレクティブは、指定のコンテキストからフォームの送信先として使用される URL を制限します。
警告:
form-action がフォーム送信後のリダイレクトをブロックするかどうかは 議論の最中 であり、この点に関する実装はブラウザーによって異なります(例えば、 Firefox 57 はリダイレクトをブロックしませんが、 Chrome 63 はリダイレクトをブロックします。)
| CSP バージョン | 2 |
|---|---|
| ディレクティブ種別 | ナビゲーションディレクティブ |
default-src による代替 |
なし。このディレクティブが設定されていない場合、すべてが許可されます。 |
構文
form-action ポリシーには、 1 つ以上のソースを設定することができます。
http
Content-Security-Policy: form-action <source>;
Content-Security-Policy: form-action <source> <source>;
このディレクティブは、次のいずれかの値を指定することができます。
'none'-
フォームの送信は行われません。単一引用符は必須です。
<source-expression-list>-
ソース表現の値を空白で区切ったリストです。フォームの送信は、指定されたソース表現のいずれかと URL が一致した場合に行われます。このディレクティブでは、以下のソース表現の値が適用できます。
例
meta タグの設定
html
<meta http-equiv="Content-Security-Policy" content="form-action 'none'" />
Apache の設定
html
<IfModule mod_headers.c>
Header set Content-Security-Policy "form-action 'none';"
</IfModule>
Nginx の設定
nginx
add_header Content-Security-Policy "form-action 'none';"
違反している場合
インラインの JavaScript で action を設定した <form> 要素 は CSP 違反となります。
html
<meta http-equiv="Content-Security-Policy" content="form-action 'none'" />
<form action="javascript:alert('Foo')" id="form1" method="post">
<input type="text" name="fieldName" value="fieldValue" />
<input type="submit" id="submit" value="submit" />
</form>
<!--
// エラー: 以下に違反したので、フォームデータの送信は拒否されました。
// Content Security Policy ディレクティブ: "form-action 'none'"
-->
仕様書
| 仕様書 |
|---|
| Content Security Policy Level 3 # directive-form-action |