---

title: "CSP 导航与基础约束：form-action 与 base-uri 的强化"

keywords:

• CSP
• form-action
• base-uri
• 导航控制
• 文档约束
• 报告

description: "解释 CSP 的 form-action 与 base-uri 指令在防止恶意表单提交与基准 URL 注入上的作用，给出配置建议与参考。"

categories:

• 文章资讯
• 编程技术

---

概述

严格的 CSP 不仅约束资源加载，还应通过导航类与文档类指令防止恶意表单提交与基准 URL 篡改。form-action 控制表单目标域，base-uri 限制 <base> 元素可用的 URL，避免被攻击者借助基准路径影响相对链接解析。

form-action：限制提交目标

• 指定允许的目标来源（'self'、https:、主机白名单）；也可设为 'none' 完全禁止表单提交［参考1,4］。
• 使用内联 JavaScript 作为 action 将触发 CSP 违规，建议改为静态 URL 或受控跳转［参考1］。

base-uri：限制文档基准 URL

• 限制 <base> 的 href 来源，避免通过基准路径操控相对链接解析与资源加载；可设为 'none' 禁用，或限定 'self' 与特定域［参考2,3,4］。

工程建议

• 结合 report-to/Report-Only 灰度启用，观察违规；与 frame-ancestors、script-src 严格策略协同。

参考与验证

• ［参考1］MDN：form-action 指令（可设 'none' 与允许来源，内联 action 触发违规）：https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/form-action
• ［参考2］MDN 中文：base-uri 指令说明（限制 <base> 的 URL）：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/base-uri
• ［参考3］MDN 英文：CSP 头文档（导航与文档指令概览）：https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy
• ［参考4］MDN 安全实践：实施严格 CSP（禁用 <base> 设置与导航约束）：https://developer.mozilla.org/en-US/docs/Web/Security/Practical_implementation_guides/CSP

关键词校验

关键词与 CSP 导航/文档约束一致。